Trueseeing 是一个非反编译的 Android 应用程序漏洞扫描器。
项目描述
自述文件
trueseeing 是一款针对 Android 应用的快速、准确且具有弹性的漏洞扫描器。它在 Android 打包文件 (APK) 上运行,并以 HTML、JSON 或 CI 友好格式输出综合报告。APK 是否被混淆并不重要。
能力
目前 trueseeing 可以检测到以下类别的漏洞:
-
平台使用不当 (M1)
- 可调试
- 意外发布活动、服务、内容提供者、广播接收者
-
不安全数据 (M2)
- 可备份(即备份攻击可疑)
- 不安全的文件权限
- 日志记录
-
不安全的通信 (M3)
- 缺乏固定(即容易受到 TLS 拦截攻击)
- 使用明文 HTTP
- 可篡改的 WebView
-
密码学不足 (M5)
- 硬编码密码/密钥
- 带有静态密钥的 Vernum 密码
- 使用欧洲央行模式
-
客户端代码质量问题 (M7)
- 可反射的 WebView(即此类视图中的 XSS 应该可以通过 JS 反射升级到远程代码执行)
- 对混合内容使用不安全策略
-
代码篡改 (M8)
- 硬编码证书
-
逆向工程 (M9)
- 缺乏混淆
安装
$ pip3 install trueseeing
$ trueseeing --bootstrap
用法
以下命令行足以扫描 APK (target.apk),产生 stderr 中列出的结果:
$ trueseeing /path/to/target.apk
要生成 HTML 格式的报告:
$ trueseeing -o report.html /path/to/target.apk
$ trueseeing --format=html -o report.html /path/to/target.apk
要生成 JSON 格式的报告:
$ trueseeing --format=json -o report.json /path/to/target.apk
要在标准输出中生成报告,请指定“-”作为文件名:
$ trueseeing -o - /path/to/target.apk > report.html
$ trueseeing --format=html -o - /path/to/target.apk > report.html
$ trueseeing --format=json -o - /path/to/target.apk > report.json
要解决(不是全部)它捕获的问题:
$ trueseeing --patch-all /path/to/target.apk
下载文件
下载适用于您平台的文件。如果您不确定要选择哪个,请了解有关安装包的更多信息。
源分布
trueseeing-2.1.5.tar.gz
(19.8 MB
查看哈希)
内置分布
trueseeing-2.1.5-py3-none-any.whl
(19.9 MB
查看哈希)
关
trueseeing -2.1.5.tar.gz 的哈希值
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | 346381ec404fddac403836f45430ad463639702e91997e5f40e5de70a4c8d209 |
|
| MD5 | b4f430a12ca1285f40165c405996f468 |
|
| 布莱克2-256 | abb674150b6cc90f687c5c89481d8a81a32841df84fcd744038b83be7b31709d |
关
trueseeing -2.1.5-py3-none-any.whl 的哈希值
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | 58f51a0c4f216967f59b9c19cafb1eebf7dd950a24c43065219be72a5098db16 |
|
| MD5 | bc034c56baa690c502cc8b28dfae207b |
|
| 布莱克2-256 | c11f4d0c226037e18b90b71b90b68fd46c5cd76ff959c578c9f033da6419c746 |