10 best mobile app security testing tools 2021
Android 및 iOS 모바일 애플리케이션 보안 테스트 도구 개요 :
모바일 기술과 스마트 폰 장치는이 바쁜 세상에서 자주 사용되는 두 가지 인기있는 용어입니다. 전 세계 인구의 거의 90 %가 스마트 폰을 가지고 있습니다.
목적은 상대방에게 '전화를 걸기'위한 것이 아니라 스마트 폰에 카메라, 블루투스, GPS, Wi-FI와 같은 다양한 기능이 있으며 다양한 모바일 애플리케이션을 사용하여 여러 트랜잭션을 수행합니다.
기능, 유용성, 보안, 성능 등에 대해 모바일 장치 용으로 개발 된 소프트웨어 응용 프로그램을 테스트하는 것을 모바일 응용 프로그램 테스트라고합니다.
모바일 애플리케이션 보안 테스트에는 인증, 권한 부여, 데이터 보안, 해킹 취약성, 세션 관리 등이 포함됩니다.
모바일 앱 보안 테스트가 중요한 이유는 여러 가지가 있습니다. 그 중 일부는 – 모바일 앱에 대한 사기 공격, 모바일 앱에 대한 바이러스 또는 맬웨어 감염을 방지하고 보안 침해 등을 방지합니다.
따라서 비즈니스 관점에서 보안 테스트를 수행하는 것이 필수적이지만 대부분의 테스터는 모바일 앱이 여러 장치 및 플랫폼을 대상으로하기 때문에 어렵습니다. 따라서 테스터에는 모바일 앱이 안전한지 확인하는 모바일 앱 보안 테스트 도구가 필요합니다.
= >> 문의하기 여기에 목록을 제안합니다.학습 내용 :
최고의 모바일 앱 보안 테스트 도구
아래 목록은 전 세계적으로 사용되는 가장 인기있는 모바일 앱 보안 테스트 도구입니다.
# 1) ImmuniWeb® MobileSuite
# 2) Zed 공격 프록시
# 3) Kiuwan
# 4) QARK
# 5) 마이크로 포커스
# 6) Android 디버그 브리지
# 7) 코드화 된 보안
# 8) 드로 저
# 9) WhiteHat 보안
# 10) Synopsys
# 11) Veracode
# 12) 모바일 보안 프레임 워크 (MobSF)
최고의 모바일 애플리케이션 보안 테스트 도구에 대해 자세히 알아 보겠습니다.
# 1) ImmuniWeb® MobileSuite
ImmuniWeb® MobileSuite 통합 오퍼에서 모바일 앱과 백엔드 테스트의 고유 한 조합을 제공합니다. 모바일 앱용 모바일 OWASP Top 10과 백엔드 용 SANS Top 25 및 PCI DSS 6.5.1-10을 포괄적으로 다룹니다. 오탐 제로 SLA 및 단일 오 탐지에 대한 환불 보장을 갖춘 유연한 종량제 패키지가 함께 제공됩니다!
주요 특징들:
- 모바일 앱 및 백엔드 테스트.
- 오 탐지 SLA가 없습니다.
- PCI DSS 및 GDPR 준수.
- CVE, CWE 및 CVSSv3 점수.
- 실행 가능한 수정 지침.
- SDLC 및 CI / CD 도구 통합.
- WAF를 통한 원 클릭 가상 패칭.
- 보안 분석가에 대한 연중 무휴 액세스.
ImmuniWeb® MobileSuite는 개발자와 SME를위한 무료 온라인 모바일 스캐너를 제공하여 개인 정보 문제를 감지하고 애플리케이션 권한을 확인하며 전체적으로 실행할 수 있습니다. DAST / SAST OWASP Mobile Top 10 테스트.
=> ImmuniWeb® MobileSuite 웹 사이트 방문
# 2) Zed 공격 프록시
ZAP (Zed Attack Proxy)는 간단하고 사용하기 쉬운 방식으로 설계되었습니다. 이전에는 취약점을 찾기 위해 웹 애플리케이션에만 사용되었지만 현재는 모바일 애플리케이션 보안 테스트를 위해 모든 테스터가 널리 사용하고 있습니다.
ZAP는 악성 메시지 전송을 지원하므로 테스터가 모바일 앱의 보안을 테스트하는 것이 더 쉽습니다. 이러한 유형의 테스트는 악성 메시지를 통해 요청 또는 파일을 전송하여 가능하며 모바일 앱이 악성 메시지에 취약한 지 여부를 테스트합니다.
주요 특징들:
- 세계에서 가장 인기있는 오픈 소스 보안 테스트 도구입니다.
- ZAP는 수백 명의 국제 자원 봉사자들이 적극적으로 관리하고 있습니다.
- 설치가 매우 쉽습니다.
- ZAP는 20 개 언어로 제공됩니다.
- 지원을 제공하고 국제 자원 봉사자들의 적극적인 개발을 포함하는 국제 커뮤니티 기반 도구입니다.
- 또한 수동 보안 테스트를위한 훌륭한 도구입니다.
공식 사이트를 방문하십시오 : Zed 공격 프록시
#삼)Kiuwan
Kiuwan은 가장 큰 기술 범위로 모바일 앱 보안 테스트에 대한 360º 접근 방식을 제공합니다.
Kiuwan 보안 테스트에는 SDLC의 모든 단계에서 자동화 된 정적 코드 분석 및 소프트웨어 구성 분석이 포함됩니다. IDE 수준에서 통합하여 모바일 개발을위한 주요 언어 및 널리 사용되는 프레임 워크를 다룹니다.
공식 웹 사이트를 방문하십시오 : Kiuwan 코드 보안
# 4) QARK
LinkedIn은 2002 년에 설립 된 소셜 네트워킹 서비스 회사로 미국 캘리포니아에 본사를두고 있습니다. 총 직원 수는 약 10,000 명이며 2015 년 현재 매출은 30 억 달러입니다.
QARK는“Quick Android Review Kit”의 약자로 LinkedIn에서 개발했습니다. 이름 자체는 Android 플랫폼이 모바일 앱 소스 코드 및 APK 파일의 보안 허점을 식별하는 데 유용함을 나타냅니다. QARK는 정적 코드 분석 도구이며 Android 애플리케이션 관련 보안 위험에 대한 정보를 제공하고 문제에 대한 명확하고 간결한 설명을 제공합니다.
QARK는 QARK가 감지하는 취약성을 검증하는 데 도움이되는 ADB (Android Debug Bridge) 명령을 생성합니다.
주요 특징들:
- QARK는 오픈 소스 도구입니다.
- 보안 취약성에 대한 심층 정보를 제공합니다.
- QARK는 잠재적 인 취약성에 대한 보고서를 생성하고이를 해결하기 위해해야 할 일에 대한 정보를 제공합니다.
- Android 버전과 관련된 문제를 강조합니다.
- QARK는 모바일 앱의 모든 구성 요소에서 잘못된 구성 및 보안 위협을 검색합니다.
- 테스트 목적으로 APK 형식으로 사용자 지정 애플리케이션을 생성하고 잠재적 인 문제를 식별합니다.
공식 사이트를 방문하십시오 : 회로
# 5) 마이크로 포커스
Micro Focus와 HPE Software가 합병하여 세계에서 가장 큰 소프트웨어 회사가되었습니다. Micro Focus는 영국 뉴 버리에 본사를두고 있으며 직원 수는 약 6,000 명입니다. 2016 년 매출은 13 억 달러였습니다. Micro Focus는 주로 보안 및 위험 관리, DevOps, 하이브리드 IT 등의 분야에서 고객에게 엔터프라이즈 솔루션을 제공하는 데 주력했습니다.
Micro Focus는 여러 장치, 플랫폼, 네트워크, 서버 등에서 엔드 투 엔드 모바일 앱 보안 테스트를 제공합니다. Fortify는 모바일 장치에 설치하기 전에 모바일 앱을 보호하는 Micro Focus의 도구입니다.
회귀 테스트 케이스 작성 방법
주요 특징들:
- Fortify는 유연한 제공 모델을 사용하여 포괄적 인 모바일 보안 테스트를 수행합니다.
- 보안 테스트에는 모바일 앱에 대한 정적 코드 분석 및 예약 스캔이 포함되며 정확한 결과를 제공합니다.
- 식별 보안 취약점 클라이언트, 서버 및 네트워크 전체.
- Fortify는 맬웨어 식별에 도움이되는 표준 검사를 허용합니다.
- Fortify는 Google Android, Apple iOS, Microsoft Windows 및 Blackberry와 같은 여러 플랫폼을 지원합니다.
공식 사이트를 방문하십시오 : 마이크로 포커스
# 6) Android 디버그 브리지
Android는 Google에서 개발 한 모바일 장치 용 운영 체제입니다. Google은 1998 년에 설립 된 미국에 본사를 둔 다국적 기업입니다. 본사는 미국 캘리포니아에 있으며 직원 수는 72,000 명 이상입니다. 2017 년 Google의 수익은 258 억 달러였습니다.
Android 디버그 브리지 (ADB)는 모바일 앱의 보안을 평가하기 위해 실제 연결된 Android 기기 또는 에뮬레이터와 통신하는 명령 줄 도구입니다.
또한 여러 Android 장치 또는 에뮬레이터에 연결할 수있는 클라이언트-서버 도구로도 사용됩니다. 여기에는 '클라이언트'(명령을 보내는), '데몬'(comma.nds 실행) 및 '서버'(클라이언트와 데몬 간의 통신 관리)가 포함됩니다.
주요 특징들:
- ADB는 Google의 Android 스튜디오 IDE와 통합 될 수 있습니다.
- 시스템 이벤트의 실시간 모니터링.
- 셸 명령을 사용하여 시스템 수준에서 작동 할 수 있습니다.
- ADB는 USB, WI-FI, Bluetooth 등을 사용하여 장치와 통신합니다.
- ADB는 Android SDK 패키지 자체에 포함되어 있습니다.
공식 사이트를 방문하십시오 : Android 디버그 브리지
# 7) 코드화 된 보안
Codified Security는 영국 런던에 본사를두고 2015 년에 시작되었습니다. Codified Security는 모바일 애플리케이션 보안 테스트를 수행하는 데 널리 사용되는 테스트 도구입니다. 보안 취약성을 식별 및 수정하고 모바일 앱을 안전하게 사용할 수 있도록합니다.
보안 테스트를위한 프로그래밍 방식을 따르므로 모바일 앱 보안 테스트 결과가 확장 가능하고 신뢰할 수 있습니다.
주요 특징들:
- 모바일 앱 코드의 보안 허점을 감지하는 자동화 된 테스트 플랫폼입니다.
- Codified Security는 실시간 피드백을 제공합니다.
- 기계 학습 및 정적 코드 분석에 의해 지원됩니다.
- 모바일 앱 보안 테스트에서 정적 및 동적 테스트를 모두 지원합니다.
- 코드 수준보고는 모바일 앱의 클라이언트 측 코드에서 문제를 파악하는 데 도움이됩니다.
- Codified Security는 iOS, Android 플랫폼 등을 지원합니다.
- 실제로 소스 코드를 가져 오지 않고 모바일 앱을 테스트합니다. 데이터 및 소스 코드는 Google 클라우드에서 호스팅됩니다.
- 파일은 APK, IPA 등과 같은 여러 형식으로 업로드 할 수 있습니다.
공식 사이트를 방문하십시오 : 코드화 된 보안
# 8) 드로 저
MWR InfoSecurity는 사이버 보안 컨설팅 회사로 2003 년에 시작되었습니다. 현재 미국, 영국, 싱가포르 및 남아프리카에 전 세계에 지사가 있습니다. 사이버 보안 서비스를 제공하는 가장 빠르게 성장하는 회사입니다. 모바일 보안, 보안 연구 등과 같은 다양한 영역에서 전 세계에 퍼져있는 모든 고객에게 솔루션을 제공합니다.
MWR InfoSecurity는 클라이언트와 협력하여 보안 프로그램을 제공합니다. Drozer는 MWR InfoSecurity에서 개발 한 모바일 앱 보안 테스트 프레임 워크입니다. 모바일 앱 및 장치의 보안 취약성을 식별하고 Android 장치, 모바일 앱 등이 사용하기에 안전한지 확인합니다.
Drozer는 복잡하고 시간이 많이 걸리는 활동을 자동화하여 Android 보안 관련 문제를 평가하는 데 시간이 덜 걸립니다.
주요 특징들:
- Drozer는 오픈 소스 도구입니다.
- Drozer는 보안 테스트를 위해 실제 안드로이드 장치와 에뮬레이터를 모두 지원합니다.
- Android 플랫폼 만 지원합니다.
- 장치 자체에서 Java 지원 코드를 실행합니다.
- 사이버 보안의 모든 영역에서 솔루션을 제공합니다.
- Drozer 지원을 확장하여 숨겨진 약점을 찾고 악용 할 수 있습니다.
- Android 앱에서 위협 영역을 발견하고 상호 작용합니다.
공식 사이트를 방문하십시오 : MWR 정보 보안
# 9) WhiteHat 보안
WhiteHat Security는 2001 년에 설립 된 미국 기반 소프트웨어 회사로 미국 캘리포니아에 본사가 있습니다. 매출은 약 4,400 만 달러입니다. 인터넷 세계에서 'White Hat'은 윤리적 인 컴퓨터 해커 또는 컴퓨터 보안 전문가로 불립니다.
WhiteHat Security는 Gartner에서 보안 테스트 분야의 리더로 인정 받았으며 고객에게 세계적 수준의 서비스를 제공하여 상을 받았습니다. 웹 애플리케이션 보안 테스트, 모바일 앱 보안 테스트와 같은 서비스를 제공합니다. 컴퓨터 기반 교육 솔루션 등
WhiteHat Sentinel Mobile Express는 모바일 앱 보안 솔루션을 제공하는 WhiteHat Security에서 제공하는 보안 테스트 및 평가 플랫폼입니다. WhiteHat Sentinel은 정적 및 동적 기술을 사용하여 더 빠른 솔루션을 제공합니다.
주요 특징들:
- 클라우드 기반 보안 플랫폼입니다.
- Android 및 iOS 플랫폼을 모두 지원합니다.
- Sentinel 플랫폼은 프로젝트 상태를 파악하기위한 자세한 정보와보고를 제공합니다.
- 자동화 된 정적 및 동적 모바일 앱 테스트를 통해 다른 도구 또는 플랫폼보다 더 빠르게 허점을 감지 할 수 있습니다.
- 테스트는 모바일 앱을 설치하여 실제 장치에서 수행되며 테스트를 위해 에뮬레이터를 사용하지 않습니다.
- 보안 취약점에 대한 명확하고 간결한 설명을 제공하고 솔루션을 제공합니다.
- Sentinel은 CI 서버, 버그 추적 도구 및 ALM 도구와 통합 될 수 있습니다.
공식 사이트를 방문하십시오 : WhiteHat 보안
# 10) Synopsys
Synopsys Technology는 1986 년에 설립되었으며 미국 캘리포니아에 기반을 둔 미국 기반 소프트웨어 회사입니다. 현재 직원 수는 약 11,000 명이고 2016 회계 연도 기준 매출은 약 26 억 달러입니다. 전 세계에 지사를두고 있으며 미국, 유럽, 중동 등의 여러 국가에 분산되어 있습니다.
Synopsys는 모바일 앱 보안 테스트를위한 포괄적 인 솔루션을 제공합니다. 이 솔루션은 모바일 앱의 잠재적 위험을 식별하고 모바일 앱을 안전하게 사용할 수 있도록합니다. 모바일 앱 보안과 관련된 다양한 문제가 있으므로 Synopsys는 정적 및 동적 도구를 사용하여 맞춤형 모바일 앱 보안 테스트 제품군을 개발했습니다.
주요 특징들:
- 여러 도구를 결합하여 모바일 앱 보안 테스트를위한 가장 포괄적 인 솔루션을 얻으십시오.
- 보안 결함없는 소프트웨어를 프로덕션 환경에 제공하는 데 중점을 둡니다.
- Synopsys는 품질을 개선하고 비용을 줄이는 데 도움이됩니다.
- 서버 측 애플리케이션과 API의 보안 취약성을 제거합니다.
- 임베디드 소프트웨어를 사용하여 취약점을 테스트합니다.
- 정적 및 동적 분석 도구는 모바일 앱 보안 테스트 중에 사용됩니다.
공식 사이트를 방문하십시오 : Synopsys
# 11) Veracode
Veracode는 미국 매사추세츠에 본사를 둔 소프트웨어 회사로 2006 년에 설립되었습니다. 총 직원 수는 약 1,000 명이고 매출은 3 천만 달러입니다. 2017 년에 CA Technologies는 Veracode를 인수했습니다.
Veracode는 전 세계 고객에게 애플리케이션 보안 서비스를 제공하고 있습니다. 자동화 된 클라우드 기반 서비스를 사용하여 Veracode는 웹 및 모바일 애플리케이션 보안을위한 서비스를 제공합니다. Veracode의 MAST (Mobile Application Security Testing) 솔루션은 모바일 앱의 보안 허점을 식별하고 해결을위한 즉각적인 조치를 제안합니다.
주요 특징들:
- 사용하기 쉽고 정확한 보안 테스트 결과를 제공합니다.
- 애플리케이션을 기반으로 보안 테스트가 수행됩니다. 금융 및 의료 애플리케이션은 심층적으로 테스트되고 간단한 웹 애플리케이션은 간단한 스캔으로 테스트됩니다.
- 모바일 앱 사용 사례의 전체 범위를 사용하여 심층 테스트가 수행됩니다.
- Veracode 정적 분석은 빠르고 정확한 코드 검토 결과를 제공합니다.
- 단일 플랫폼에서 정적, 동적 및 모바일 앱 동작 분석을 포함하는 여러 보안 분석을 제공합니다.
공식 사이트를 방문하십시오 : Veracode
# 12) 모바일 보안 프레임 워크 (MobSF)
MobSF (모바일 보안 프레임 워크)는 Android, iOS 및 Windows 플랫폼을위한 자동화 된 보안 테스트 프레임 워크입니다. 모바일 앱 보안 테스트를위한 정적 및 동적 분석을 수행합니다.
대부분의 모바일 앱은 보안 허점이있을 수있는 웹 서비스를 사용하고 있습니다. MobSF는 웹 서비스의 보안 관련 문제를 해결합니다.
주요 특징들:
- 모바일 앱 보안 테스트를위한 오픈 소스 도구입니다.
- MobSF를 이용하여 모바일 앱 테스트 환경을 쉽게 설정할 수 있습니다.
- MobSF는 로컬 환경에서 호스팅되므로 민감한 데이터가 클라우드와 상호 작용하지 않습니다.
- 세 가지 플랫폼 (Android, iOS, Windows) 모두에서 모바일 앱에 대한 더 빠른 보안 분석.
- MobSF는 바이너리 및 압축 소스 코드를 모두 지원합니다.
- API Fuzzer를 이용한 Web API 보안 테스트를 지원합니다.
- 개발자는 개발 단계에서 보안 취약성을 식별 할 수 있습니다.
공식 사이트를 방문하십시오 : 모바일 보안 프레임 워크
결론
이 기사를 통해 시장에서 사용 가능한 다양한 모바일 앱 보안 테스트 도구에 대해 배웠습니다.
추천 읽기 = >> 최고의 동적 애플리케이션 보안 테스트 도구
테스터는 각 모바일 애플리케이션의 특성과 요구 사항에 따라 최고의 보안 테스트 도구를 사용하는 것이 항상 중요합니다.
= >> 문의하기 여기에 목록을 제안합니다.다음 기사에서는 모바일 테스트 도구 (Android 및 iOS 자동화 도구) .