App漏洞扫描哪家强?

对此小编就根据自己的行业经验,用同一款App的同一个版本对上面的6家App漏洞扫描工具进行了测试,写出了自己的使用感受。希望大家看了能选择出一款适合自己的App漏洞扫描工具。

一、检测速度对比

先从检测速度对比,检测速度最快的属于爱加密,基本上几秒钟就检测完毕了,Testin云测和360次之,IBM的扫描速度稍微慢一些,腾讯和梆梆安全简直太慢,基本上等了好几个小时,没有结果,腾讯的安全扫描貌似有bug,系统显示5分钟,结果等了2个小时还是处在扫描中,刷新后需要重新上传扫描,怀疑有bug。从检测速度对比来说,Testin云测和360的安全扫描速度比较适中,值得推荐。如果你还可以忍受,IBM的也可以做为备用推荐使用。

二、检测结果对比

1.检测报告概览对比:

首先上面6家都能导出PDF报告,大部分是免费导出的,只有梆梆安全的需要收费或者认证才能导出,这个对新用户的体验不是很好,新用户就不用要梆梆安全了。其次,再看各家报告的结果概览,Testin云测的最为清晰,包含应用名称,评分,风险分布柱状图,饼状图,检测项,以及风险项,非常标准清晰,其他家的基本没有柱状图和饼状图,主要是应用名称和打分,以及风险数量;腾讯乐固的检测报告没有标腾讯乐固出的,对新用户来说,只看报告都不知道是谁家的,会比较迷惑;IBM的最简单,或者说最粗糙,基本就是出个风险数。综合来说,Testin云测的检测报告最为美观。

2.监测点数量对比

接着对比检测结果的检测点数量,Testin云测,360加固保,爱加密都会在报告展示检测点的数量,检测了多少项,对开发者来说,有一个清晰的直观的认识,而其他的基本是没有的。在已经显示检测点数量的厂商中,Testin安全的检测点数量是最多的,高达70项。可见Testin云测在对检测点的数量优势非常大,是其他家的一倍。检测点越多,对App的问题也就更容易发现,这块Testin云测的优势非常明显。

3.检测报告结构对比

大致上各家的检测报告的结构如下,都包含检测概率或者预览,其次是应用名称以及信息,包含应用的权限信息,再次是风险信息,组件信息,漏洞信息等。结果概览或预览在上面的已经说过,Testin云测的最为美观,下面我们说下,检测报告的结构。

Testin云测的检测报告结构比较清晰,除了应用信息已经包含了应用的权限信息,行为信息之外,还列了6个方面的分类风险。IBM的检测结构太简单,就给了个问题列表就结束了。可见不花钱基本上什么也看不到。梆梆安全的检测结构,分类不是很清晰,主要是敏感词和病毒扫描,风险评估,对新App来说,带病毒的几率比较小,除非开发人员电脑感染病毒,该病毒功能可能是针对已经上线的App,目的可能是为了加固服务而做的这个功能。腾讯的检测结构也比较简单,就4项,有一项包含广告检测,估计是方便应用上线应用所用的,这个很简单的能看出为自身商店服务的目的,其他的漏洞和风险检测都比较简单。爱加密的检测大部分为应用的信息,比如应用行为,应用权限等占了很大的部分,其次为加固服务的加壳识别,敏感行为,动态DEX检测,组件检测。

从检测的结构来说,Testin云测、梆梆、爱加密的检测项目最多也最全,IBM、腾讯乐固、360的检测项目比较少。可能每家的分类不一样,但是总的来说,主要是应用信息,风险信息,漏洞信息,组件信息、代码信息等,具体开发者喜欢那种检测结构,根据自己的喜好来定。如果从笔者的角度来看, Testin云测、梆梆的检测结构是比较清晰,让人容易理解。

4.检测效果对比

上面列了检测报告,检测结构,检测点,其实都不算是最重要的,最重要的是检测效果的对比,即最能检测出来问题才是最重要的,开发者使用安全扫描的最终目的是发现风险和问题,并解决问题,保障App上线后不会由于安全问题给公司或者用户带来风险。所以说检测的结果才是App安全检测的最核心的东西。

通过使用同一款App用各厂家的移动应用安全扫描进行检测,发现检测出高中风险问题的引擎是Testin云测的移动应用安全扫描系统,高风险有6条,中风险有13条,可以看出Testin云测移动应用安全扫描系统最能发现问题,梆梆安全的问题没有归类,给开发者的体验不好,高低问题也不知道,360高风险的检测数据是0,其他的风险占比基本都在百分之十几。也就是说真正能找出问题的移动应用安全扫描系统的排名是Testin>爱加密>IBM>腾讯乐固>360加固保>梆梆。

接着说下各家检测结果,对问题的解决上以及修复方案上来看,IBM的检测结果只能看到基础的问题,比如开发者的App是否有恶意漏洞,漏洞等级是高还是低,漏洞名称,漏洞性质以及时间,但是如果要看详细的代码问题,需要付费。爱加密的检测结果最快,但是从检测的结果来看,主要是App的权限检测和是否未加固检测,是否做了代码混淆检测,可以看出其检测的主要目的是为加固服务的,当然在风险的定义上给出了代码行,但是并没有给出具体的解决方案,只是对代码的排列。梆梆安全的pdf导出都要付费,网页版只能看到部分信息,这个对初级开发者来说比较苛刻。360的扫描结果也主要是结果的陈述,比如漏洞的名称、性质等基础信息,复杂的信息会给你一个参考链接进行二次跳转进行查看,同时也给出了修复建议。腾讯的乐固也给出了修复建议和代码行的定位,Testin的也给出代码行,风险等级,修复建议,所以从解决问题方面来看,Testin云测,360加固保、腾讯乐固不错,定位到代码行,并给处具体的修复建议。

三、付费对比

下面说下几家的费用对比,IBM属于部分付费,扫描的基础信息免费,但是扫描的详细结果需要付费,360的扫描免费,Testin云测的试用版免费,试用版只能上传两个应用,认证后可以上传多个应用,正式版和高级版要收费,梆梆安全的初级版本免费,高级版付费。

爱加密的免费,腾讯的免费。

四、用户体验对比

IBM的用户体验和国人的不相同,不熟悉的容易点到本地化部署上面,这个方面老外的想法和国人的想法确实不一样。其他的梆梆安全、Testin移动应用扫描系统等都是官网注册后,上传应用安装包即可,都是非常方便。

另外在本地化部署上面,除了360和腾讯乐固不支持本地化以外,其他的App漏洞扫描都支持本地化,这个对安全要求比较高的金融行业如银行、保险等企业来说,非常重要。可见本地化是各个厂家都比较关注的功能。

五、综合对比

通过对扫描时间、扫描结果、检测结果、付费、用户体验等各个方面的对比来看,Testin移动应用安全扫描优于其他的安全扫描系统,对于一个App开发者来说,能客观发现最多App的问题,并指出漏洞的详细情况才是最重要的,同时兼顾时间和费用,满足中小开发者的基本需求。爱加密检测速度非常快,但是从整体上看主要为他们的加固服务做铺垫,并没有提出问题的具体修复方案。梆梆安全的初级版本发现的问题比较少,而且PDF导出都要付费,对中小开发者来说需要考虑预算。腾讯的检测项目比较少,主要是广告检测和风险检测,不知道广告检测目的是为何?也许是为其应用商店服务。IBM App Scan主要是外国人开发,对中国开发者来说不是太习惯,检测的东西少而且需要付费,中小开发者不建议使用。360加固保的漏洞扫描也不错,但是就是找到的问题太少,高风险的问题是零,如果开发者想要一个没有问题的检测,可以选择360加固保。

站在开发者的角度,使用移动应用安全扫描的核心目的是找出App的风险和漏洞,加固没有加固自己肯定知道,有没有广告也自己知道,找到的问题越多,对App开发者来说,上线后遇到的风险越少,这个才是最重要的。

由此可以得出对比结果:

Testin移动应用扫描>爱加密>腾讯乐固>IBM>360加固保>梆梆。Testin移动应用扫描系统能胜出,通过各个方面对比来看,可见Testin云测确实在漏洞扫描方面下了物力和人力,如果真要选择一个质量好的漏洞扫描系统来说,还是推荐Testin移动应用扫描,高质量的试用版对小开发者来说,已经足够了。

作者:移动互联网李建华,微信:beijinghutuxiong,转载请注明出处和作者。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 155,770评论 4 358
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 66,116评论 1 286
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 105,656评论 0 237
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 43,372评论 0 201
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 51,704评论 3 285
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 40,166评论 1 204
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,535评论 2 306
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 30,259评论 0 193
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 33,882评论 1 236
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 30,218评论 2 239
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,760评论 1 255
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 28,126评论 2 249
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,667评论 3 228
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,935评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,644评论 0 192
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 35,171评论 2 265
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 35,119评论 2 258

推荐阅读更多精彩内容