Phân tích tĩnh ứng dụng Android với APKHunt

whf

Super Moderator
Thành viên BQT
06/07/2013
797
1.308 bài viết
Phân tích tĩnh ứng dụng Android với APKHunt
APKHunt là một công cụ phân tích tĩnh ứng dụng Android mã nguồn mở được xây dựng dựa trên OWASP MASVS framework giúp các nhà phát triển xác định và khắc phục các lỗ hổng bảo mật tiềm ẩn trong ứng dụng và cũng hữu ích cho các chuyên gia bảo mật muốn tìm lỗ hổng.

1710842529876.png

Tính năng nổi bật của APKHunt:

  • Phạm vi quét rộng: Bao gồm hầu hết các test case liên quan đến SAST (Static Application Security Testing) của OWASP MASVS framework.
  • Hỗ trợ quét hàng loạt tệp APK: Hỗ trợ quét nhiều tệp APK trong một đường dẫn hoặc thư mục cụ thể.
  • Quét tối ưu hóa: Các rule cụ thể được thiết kế để kiểm tra các lỗ hổng bảo mật cụ thể, dẫn đến quá trình quét gần như đạt độ chính xác 100%.
  • Tỷ lệ false positive thấp: Được thiết kế để xác định và làm nổi bật vị trí của các lỗ hổng trong mã nguồn.
  • Định dạng output: Kết quả có thể được xem trong định dạng TXT.

Một số công việc mà APKHunt có thể thực hiện:​

  • Quét ứng dụng Android để xác định các lỗ hổng bảo mật đã biết.
  • Xác định các vấn đề tiềm ẩn trong mã nguồn ứng dụng, như lập trình không an toàn, sử dụng quyền không đúng và thông tin đăng nhập được hardcoded trong mã nguồn...
  • Tạo báo cáo chi tiết từ quá trình quét.
  • Hỗ trợ nhà phát triển khắc phục các lỗ hổng bảo mật trong mã nguồn của họ.
  • Đảm bảo ứng dụng của nhà phát triển đáp ứng các tiêu chuẩn bảo mật.

Lợi ích của APKHunt:​

  • Xác định sớm các lỗ hổng bảo mật trong ứng dụng có thể tiết kiệm thời gian và tiền bạc để tuân thủ các tiêu chuẩn như OWASP MASVS.
  • Nâng cao bảo mật của ứng dụng để bảo vệ người dùng trước các nguy cơ bị hack hoặc bất kỳ sự cố bảo mật nào khác ảnh hưởng đến nhà cung cấp ứng dụng.

Hạn chế của APKHunt:​

  • Công cụ phân tích mã nguồn tĩnh như APKHunt chỉ phát hiện lỗ hổng trong mã của ứng dụng; do đó, chúng không thể tìm thấy lỗ hổng gây ra trong quá trình thực thi.
  • Công cụ này không cung cấp giải pháp kiểm tra bảo mật toàn diện, vì vậy nó nên được kết hợp với các giải pháp kiểm tra khác như công cụ phân tích động để đạt hiệu quả tối ưu.
  • APKHunt chỉ được hỗ trợ trên môi trường Linux.

Cài đặt:​

Mã:
git clone https://github.com/Cyber-Buddy/APKHunt.git
cd apkhunt
go run apkhunt.go

Yêu cầu máy đã cài Git, Golang, JADX, Dex2jar. Nếu không có thể cài theo hướng dẫn bên dưới:
  • Install Git: sudo apt-get install git
  • Install Golang: sudo apt install golang-go
  • Install JADX: sudo apt-get install jadx
  • Install Dex2jar: sudo apt-get install dex2jar
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
android apkhunt
Bên trên