APKHunt是一个全面的Android应用静态代码分析工具,它是基于OWASP MASVS框架

作者:Sec-Labs | 发布时间:

项目地址

https://github.com/Cyber-Buddy/APKHunt

a1be5a40ac222630

下载 OWASP MASVS 静态分析器

 

ad1a1b7183222640

APKHunt 是一款基于 OWASP MASVS 框架的 Android 应用综合静态代码分析工具。 尽管 APKHunt 主要面向移动应用程序开发人员和安全测试人员,但任何人都可以使用它来识别和解决其代码中的潜在安全漏洞。

借助 APKHunt,移动软件架构师或开发人员可以进行彻底的代码审查,以确保其移动应用程序的安全性和完整性,而安全测试人员则可以使用该工具来确认其测试结果的完整性和一致性。 无论您是希望构建安全应用程序的开发人员,还是负责确保其安全性的信息安全测试人员,APKHunt 都可以成为您工作的宝贵资源。

🎯 特征

  • 扫描覆盖率: 覆盖了OWASP MASVS框架的大部分SAST(Static Application Security Testing)相关测试用例。
  • 多个APK扫描: 支持扫描特定路径或文件夹中的多个APK文件。
  • 优化扫描: 特定规则旨在检查特定的安全漏洞,从而实现近乎准确的扫描过程。
  • 低误报率: 旨在查明和突出显示源代码中潜在漏洞的确切位置。
  • 输出格式: 结果以 TXT 文件格式提供,便于最终用户阅读。

🕸️ 安装

  1. git 克隆 https://github.com/Cyber​​-Buddy/APKHunt.git
  2. CD apkhunt
  3. 去运行 apkhunt.go

要求:

  • 安装 Git:sudo apt-get install git
  • 安装 Golang:sudo apt install golang-go
  • 安装 JADX:sudo apt-get install jadx
  • 安装 Dex2jar:sudo apt-get install dex2jar

局限性:

  • 仅支持 Linux 环境

⚙️ 用法

      _ _   __ __  _   __  _   _                _
     / _ \ | _ _ \| | / / | | | |              | |
    / /_\ \| |_/ /| |/ /  | |_| | _   _   _ _  | |_
    |  _  ||  __/ |    \  |  _  || | | |/  _  \|  _|
    | | | || |    | |\  \ | | | || |_| || | | || |_
    \_| |_/\_|    \_| \_/ \_| |_/\ _ _ /|_| |_|\_ _|
    ------------------------------------------------
    OWASP MASVS Static Analyzer

    APKHunt Usage:
          go run APKHunt.go [options] {.apk file}

    Options:
         -h     For help
         -p     Provide the apk file-path
         -m     Provide the folder-path for multiple apk scanning
         -l     For logging (.txt file)

    Examples:
         APKHunt.go -p /Downloads/android_app.apk
         APKHunt.go -p /Downloads/android_app.apk -l
         APKHunt.go -m /Downloads/android_apps/
         APKHunt.go -m /Downloads/android_apps/ -l

📱 安全测试用例覆盖率

OWASP MASVS(移动应用程序安全验证标准)是移动应用程序安全的行业标准。 寻求开发安全移动应用程序的移动软件架构师和开发人员以及安全测试人员可以使用它来确保测试结果的完整性和一致性。

  OWASP MASVS
V1 架构、设计和威胁建模要求
V2 数据存储和隐私要求
V3 密码学要求
V4 身份验证和会话管理要求
V5 网络通讯要求
V6 环境交互要求
V7 代码质量和构建设置要求
V8 弹性和逆向工程要求

💻 演示

🚧 即将推出的功能

  • 扫描多个 APK 文件 - 完成 ☺️
  • 更多输出格式,如 HTML - 在外层轨道! 🤔
  • 与第三方工具集成 - 无法提交! 😬

🤝 贡献

我们很乐意收到来自社区的任何形式的贡献。 请提供您宝贵的建议或反馈,以使该工具更加出色。

⚠️ 免责声明

创建此项目是为了帮助信息安全社区。 尊重其核心理念、价值观和意图非常重要。 请不要将其用于任何有害、恶意或邪恶的目的。

标签:工具分享, APP分析, APK静态分析