快速的Android漏洞的审计工具
16lz
2021-01-25
Quick Android Review Kit -这个工具的目的是寻找一些与安全相关的Android应用程序的漏洞,无论是源代码还是打包的APK。
使用方法
在互动模式下运行:
python qark.py
在headless模式下运行:
python qark.py --source 1 --pathtoapk /Users/foo/qark/sampleApps/goatdroid/goatdroid.apk --exploit 1 --install 1或者python qark.py --source 2 -c /Users/foo/qark/sampleApps/goatdroid/goatdroid --manifest /Users/foo/qark/sampleApps/goatdroid/goatdroid/AndroidManifest.xml --exploit 1 --install 1
sampleapps文件夹包含qark测试程序的样本。
工具需求:
python 2.7.6
JRE 1.6+ (最好1.7以上)
OSX 或者 Ubuntu Linux
文档
qark是一个易于使用的能够找到在Android应用中常见的安全漏洞的工具。与商业产品不同的是,它可以100免费试用.qark自动化多个反编译器的使用,利用他们的组合输出,当反编译APK,产生更好的结果。
这个工具试图寻找以下的安全漏洞类型:
- Inadvertently exported components
- Improperly protected exported components
- Intents which are vulnerable to interception or eavesdropping
- Improper x.509 certificate validation
- Creation of world-readable or world-writeable files
- Activities which may leak data
- The use of Sticky Intents
- Insecurely created Pending Intents
- Sending of insecure Broadcast Intents
- Private keys embedded in the source
- Weak or improper cryptography use
- Potentially exploitable WebView configurations
- Exported Preference Activities
- Tapjacking
- Apps which enable backups
- Apps which are debuggable
- Apps supporting outdated API versions, with known vulnerabilities
路线图
即将开发的功能:
重写代码以支持可扩展性
绑定服务漏洞探测和开发
内容提供这漏洞探测和开发
额外的WebView配置演示
静态tapjacking缓解检测
能够使用根权限的文件浏览器
工具地址:https://github.com/linkedin/qark
更多相关文章
- Python3原生编写月份计算工具
- 一款常用的 Squid 日志分析工具
- GitHub 标星 8K+!一款开源替代 ls 的工具你值得拥有!
- Linux 环境下实战 Rsync 备份工具及配置 rsync+inotify 实时同步
- Android(安卓)Studio 配置JNI快速生成头文件
- 搭建windows下的android开发环境
- android 开源组件合集-UI篇(2013-11-07更新)
- Android(安卓)Menu开源项目整合工程
- Android(安卓)NDK eclipse+cdt+cgywin 环境搭建