App漏洞扫描哪家强?

专栏号作者 李建华 / 砍柴网 / 2018-12-28 13:34
"

对于中小开发者来说,最害怕看到的新事情闻就是自家的App由于漏洞被山寨,被盗版,被注入病毒,最后被应用商店下架或者被网警下架,所以很多开发者在开发完成App后都会寻找一款专业的App扫描漏洞工具对自家的App进行检测,市面上的App漏洞扫描工具比较多,比如有Testin云测,梆梆,IBM App Scan,360加固保,腾讯乐固,爱加密等等,但是到底哪家最靠谱?如何选择到一款适合自己的App移动应用安全扫描系统很多人比较迷茫。

对此小编就根据自己的行业经验,用同一款App的同一个版本对上面的6家App漏洞扫描工具进行了测试,写出了自己的使用感受。希望大家看了能选择出一款适合自己的App漏洞扫描工具。

一、检测速度对比

先从检测速度对比,检测速度最快的属于爱加密,基本上几秒钟就检测完毕了,Testin云测和360次之,IBM的扫描速度稍微慢一些,腾讯和梆梆安全简直太慢,基本上等了好几个小时,没有结果,腾讯的安全扫描貌似有bug,系统显示5分钟,结果等了2个小时还是处在扫描中,刷新后需要重新上传扫描,怀疑有bug。从检测速度对比来说,Testin云测和360的安全扫描速度比较适中,值得推荐。如果你还可以忍受,IBM的也可以做为备用推荐使用。

二、检测结果对比

1.检测报告概览对比:

首先上面6家都能导出PDF报告,大部分是免费导出的,只有梆梆安全的需要收费或者认证才能导出,这个对新用户的体验不是很好,新用户就不用要梆梆安全了。其次,再看各家报告的结果概览,Testin云测的最为清晰,包含应用名称,评分,风险分布柱状图,饼状图,检测项,以及风险项,非常标准清晰,其他家的基本没有柱状图和饼状图,主要是应用名称和打分,以及风险数量;腾讯乐固的检测报告没有标腾讯乐固出的,对新用户来说,只看报告都不知道是谁家的,会比较迷惑;IBM的最简单,或者说最粗糙,基本就是出个风险数。综合来说,Testin云测的检测报告最为美观。

2.监测点数量对比

接着对比检测结果的检测点数量,Testin云测,360加固保,爱加密都会在报告展示检测点的数量,检测了多少项,对开发者来说,有一个清晰的直观的认识,而其他的基本是没有的。在已经显示检测点数量的厂商中,Testin安全的检测点数量是最多的,高达70项。可见Testin云测在对检测点的数量优势非常大,是其他家的一倍。检测点越多,对App的问题也就更容易发现,这块Testin云测的优势非常明显。

3.检测报告结构对比

大致上各家的检测报告的结构如下,都包含检测概率或者预览,其次是应用名称以及信息,包含应用的权限信息,再次是风险信息,组件信息,漏洞信息等。结果概览或预览在上面的已经说过,Testin云测的最为美观,下面我们说下,检测报告的结构。

Testin云测的检测报告结构比较清晰,除了应用信息已经包含了应用的权限信息,行为信息之外,还列了6个方面的分类风险。IBM的检测结构太简单,就给了个问题列表就结束了。可见不花钱基本上什么也看不到。梆梆安全的检测结构,分类不是很清晰,主要是敏感词和病毒扫描,风险评估,对新App来说,带病毒的几率比较小,除非开发人员电脑感染病毒,该病毒功能可能是针对已经上线的App,目的可能是为了加固服务而做的这个功能。腾讯的检测结构也比较简单,就4项,有一项包含广告检测,估计是方便应用上线应用所用的,这个很简单的能看出为自身商店服务的目的,其他的漏洞和风险检测都比较简单。爱加密的检测大部分为应用的信息,比如应用行为,应用权限等占了很大的部分,其次为加固服务的加壳识别,敏感行为,动态DEX检测,组件检测。

从检测的结构来说,Testin云测、梆梆、爱加密的检测项目最多也最全,IBM、腾讯乐固、360的检测项目比较少。可能每家的分类不一样,但是总的来说,主要是应用信息,风险信息,漏洞信息,组件信息、代码信息等,具体开发者喜欢那种检测结构,根据自己的喜好来定。如果从笔者的角度来看, Testin云测、梆梆的检测结构是比较清晰,让人容易理解。

4.检测效果对比

上面列了检测报告,检测结构,检测点,其实都不算是最重要的,最重要的是检测效果的对比,即最能检测出来问题才是最重要的,开发者使用安全扫描的最终目的是发现风险和问题,并解决问题,保障App上线后不会由于安全问题给公司或者用户带来风险。所以说检测的结果才是App安全检测的最核心的东西。

通过使用同一款App用各厂家的移动应用安全扫描进行检测,发现检测出高中风险问题的引擎是Testin云测的移动应用安全扫描系统,高风险有6条,中风险有13条,可以看出Testin云测移动应用安全扫描系统最能发现问题,梆梆安全的问题没有归类,给开发者的体验不好,高低问题也不知道,360高风险的检测数据是0,其他的风险占比基本都在百分之十几。也就是说真正能找出问题的移动应用安全扫描系统的排名是Testin>爱加密>IBM>腾讯乐固>360加固保>梆梆。

接着说下各家检测结果,对问题的解决上以及修复方案上来看,IBM的检测结果只能看到基础的问题,比如开发者的App是否有恶意漏洞,漏洞等级是高还是低,漏洞名称,漏洞性质以及时间,但是如果要看详细的代码问题,需要付费。爱加密的检测结果最快,但是从检测的结果来看,主要是App的权限检测和是否未加固检测,是否做了代码混淆检测,可以看出其检测的主要目的是为加固服务的,当然在风险的定义上给出了代码行,但是并没有给出具体的解决方案,只是对代码的排列。梆梆安全的pdf导出都要付费,网页版只能看到部分信息,这个对初级开发者来说比较苛刻。360的扫描结果也主要是结果的陈述,比如漏洞的名称、性质等基础信息,复杂的信息会给你一个参考链接进行二次跳转进行查看,同时也给出了修复建议。腾讯的乐固也给出了修复建议和代码行的定位,Testin的也给出代码行,风险等级,修复建议,所以从解决问题方面来看,Testin云测,360加固保、腾讯乐固不错,定位到代码行,并给处具体的修复建议。

三、付费对比

下面说下几家的费用对比,IBM属于部分付费,扫描的基础信息免费,但是扫描的详细结果需要付费,360的扫描免费,Testin云测的试用版免费,试用版只能上传两个应用,认证后可以上传多个应用,正式版和高级版要收费,梆梆安全的初级版本免费,高级版付费。

爱加密的免费,腾讯的免费。

四、用户体验对比

IBM的用户体验和国人的不相同,不熟悉的容易点到本地化部署上面,这个方面老外的想法和国人的想法确实不一样。其他的梆梆安全、Testin移动应用扫描系统等都是官网注册后,上传应用安装包即可,都是非常方便。

另外在本地化部署上面,除了360和腾讯乐固不支持本地化以外,其他的App漏洞扫描都支持本地化,这个对安全要求比较高的金融行业如银行、保险等企业来说,非常重要。可见本地化是各个厂家都比较关注的功能。

五、综合对比

通过对扫描时间、扫描结果、检测结果、付费、用户体验等各个方面的对比来看,Testin移动应用安全扫描优于其他的安全扫描系统,对于一个App开发者来说,能客观发现最多App的问题,并指出漏洞的详细情况才是最重要的,同时兼顾时间和费用,满足中小开发者的基本需求。爱加密检测速度非常快,但是从整体上看主要为他们的加固服务做铺垫,并没有提出问题的具体修复方案。梆梆安全的初级版本发现的问题比较少,而且PDF导出都要付费,对中小开发者来说需要考虑预算。腾讯的检测项目比较少,主要是广告检测和风险检测,不知道广告检测目的是为何?也许是为其应用商店服务。IBM App Scan主要是外国人开发,对中国开发者来说不是太习惯,检测的东西少而且需要付费,中小开发者不建议使用。360加固保的漏洞扫描也不错,但是就是找到的问题太少,高风险的问题是零,如果开发者想要一个没有问题的检测,可以选择360加固保。

站在开发者的角度,使用移动应用安全扫描的核心目的是找出App的风险和漏洞,加固没有加固自己肯定知道,有没有广告也自己知道,找到的问题越多,对App开发者来说,上线后遇到的风险越少,这个才是最重要的。

由此可以得出对比结果:

Testin移动应用扫描>爱加密>腾讯乐固>IBM>360加固保>梆梆。Testin移动应用扫描系统能胜出,通过各个方面对比来看,可见Testin云测确实在漏洞扫描方面下了物力和人力,如果真要选择一个质量好的漏洞扫描系统来说,还是推荐Testin移动应用扫描,高质量的试用版对小开发者来说,已经足够了。

作者:移动互联网李建华,微信:beijinghutuxiong,转载请注明出处和作者。

声明:砍柴网尊重行业规范,任何转载稿件皆标注作者和来源;砍柴网的原创文章,请转载时务必注明文章作者和"来源:砍柴网",不尊重原创的行为将受到砍柴网的追责;转载稿件或作者投稿可能会经编辑修改或者补充,有异议可投诉至:post@ikanchai.com
您想第一时间获取互联网领域的资讯和商业分析,请在微信公众号中搜索"砍柴网"或者"ikanchai",或用微信扫描左边二维码,即可添加关注,从此和砍柴网建立直接联系。

相关推荐

最新文章

热文导读

1
3