浅淡五款移动设备安全测试工具

  互联网时代，越来越多的企业允许员工携带自己的设备办公，使用上的便捷性及习惯依赖，致使大多数现代用户都会直接使用自己的智能手机、平板电脑和平板式手机来访问商业和个人数据，然而，这也给企业数据带来了被泄密的风险。如何将这些设备安全地引入网络中，如何保障企业数据、应用和系统的安全至关重要。本文中，笔者就几款常见的移动设备安全测试工具展开介绍，借此为企业在消除安全威胁的工具选择上提供参考。

  ZAP（OWASP Zed Attack Proxy Project）是一款操作简便的静态安全测试工具，最初被用于Web应用程序的渗透测试中，后来被广泛运用到移动应用安全性的评估上。该工具允许测试人员设计和模拟发送恶意短信，用户可以通过模拟恶意短信攻击服务器端来评估手机应用的安全性，也可以通过逆向工程通信协议来评估应用程序的漏洞。

  HP Enterprise Software可以针对不同的设备，平台和网络来执行应用程序的安全测试。该工具目前支持多种流行的移动平台（iOS，Android，Windows Phone和Blackberry），它还具有促进各种移动应用程序的端-端安全测试的功能。此外，HP Enterprise Software可用于分析应用程序的静态资源，且定期计划动态扫描，模拟真实用户体验，并做到实时检测应用程序中的漏洞。

  Smart Phones Dumb Apps是一款用perl语言开发的脚本集，支持iOS和Android，并且它也与Google代码存储库相关联。测试人员可以彻底扫描移动应用程序的源代码来评估iOS和Android应用程序安全性，并确定导致应用程序易遭受各种安全攻击的较弱代码段。Smart Phones Dumb Apps也可用于Android应用程序的源代码上进行Fortify SCA扫描。

  iPad File Explorer是一款适用于Mac操作系统的软件。它可以查看iPad应用程序文件，同时，该工具也可以将iOS设备当作移动存储盘使用的工具，轻松从磁盘模式访问iOS设备的硬盘文件. 测试人员还可以使用该工具来访问越狱iOS设备的存储文件系统。

  adb.exe全称是Android Debug Bridge，它是一款很重要的手机工具，属于android sdk，用adb.exe可以直接操作管理android模拟器或者真实的andriod设备，测试人员可以进一步利用安全测试工具作为Android开发套件的一部分。ADB也可以用作客户端-服务器工具，并且可以连接到各种Android设备和仿真器实例，这使测试人员能够访问Android设备的文件系统，从而更容易识别出导致移动应用程序易遭受恶意攻击的漏洞。