ApkSecurityAnalysis
ApkSecurityAnalysis系统检测Android APP常见风险点
运行界面:
根据不同的需求可以进行选择,可以单个Apk检测,也可批量检测Apk,检测结果保存在APK所在文件下。
此软件为本人业余时间编写,供大家学习,有不足之处望大家多多指正。
下载地址:https://github.com/Andy10101/ApkSecurityAnalysis
+++++++++++++++++++++++++++++++++++++++++++
运行环境:
1、python 版本 < 3.0
2、仅在windows 系统测试
3、命令行main.py运行
+++++++++++++++++++++++++++++++++++++++++++
下面为一个检测示例:
=======================================================
基本信息
=======================================================
检测日期: 2016/01/31/ 14:27
APK 文件: cn.******.apk
软件名称:
软件包名:
版 本: 0.0.1.151102
版 本 号: 1
系统要求: Android 4.1 - 4.1.x
序 列 号: 66e64827
-------------------------------------------------------
ApkMd5: bd89da554ffcfeb6bf0e001e5d79a41c
SHA1: b6c8705a9a9abe5d595e06a24704381b56284e68
DexMd5: dd3e329817c25cdd80c222c3db1dd771
DexDigest: gct9noI5hYLqTJsK79XPX3qNkE8=
ManifestDigest: HsljnxFlEY7QjCOQFvnXOQ8QNrc=
-------------------------------------------------------
=======================================================
敏感权限
=======================================================
android.permission.INTERNET 具有完全的互联网访问权限
android.permission.WRITE_EXTERNAL_STORAGE 可对存储卡进行读写操作
android.permission.ACCESS_NETWORK_STATE 允许程序访问有关GSM网络信息
android.permission.MOUNT_UNMOUNT_FILESYSTEMS 允许挂载和反挂载文件系统可移动存储
=======================================================
关键配置Configuration
=======================================================
debuggable: 安全
allowBackup: 存在风险,应用程序数据可以备份和恢复
activity: 存在风险,Activity组件暴露
service: 安全
receiver: 存在风险,BroadcastReceiver组件暴露
provider: 安全
=======================================================
攻击入口Attacksurface
=======================================================
Activity(1):
cn.ac.nercis.market.mobile.SplashActivity
Service(0):
ContentProvider(0):
BroadcastReceiver(1):
cn.ac.nercis.market.log.ExceptionReceiver
=======================================================
安全漏洞Vulnerability
=======================================================
################################ Webview组件远程代码执行漏洞 ######################################
None
################################ HTTPS关闭主机名验证 ######################################
None
################################ Dex文件动态加载风险 ######################################
None
################################ WebView忽略SSL证书错误 ######################################
None
=======================================================
安全编码提醒Warning
=======================================================
################################ logcat可能泄露程序隐私信息和敏感信息 ######################################
None
|