背景

在移動端開發和逆向過程中免不了要面對 安全問題和合規問題這兩座大山，面對安全問題這個不管從攻擊方或防守方來說都是一個不斷迭代升級的過程，只有在不斷進行安全技術提升才能更好保障業務的發展。

下面從網絡上整理了一些移動端安全和合規的開源代碼，可用于移動端安全的借鑒和思路的學習。

Apkleaks源碼

它是基于jadx進行對app反編譯，用戶掃描APK文件中的 URI、端點和機密信息。

https://github.com/dwisiswant0/apkleaks

AppInfoScanner源碼

一款適用于在移動端(Android、iOS、WEB、H5、靜態網站)信息收集掃描工具，可以幫助滲透測試工程師、攻擊隊成員、紅隊成員快速收集到移動端或者靜態WEB站點中關鍵的資產信息并提供基本的信息輸出,如：Title、Domain、CDN、指紋信息、狀態信息等。

https://github.com/kelvinBen/AppInfoScanner

Androwarn源碼

用于惡意 Android 應用程序的靜態代碼分析器，檢測是通過對應用程序的Dalvik字節碼（表示為Smali）的靜態分析與androguard庫一起執行的

https://github.com/maaaaz/androwarn

quark-engine源碼

它是一個android惡意軟件評估和分析的工具，它是結合靜態和動態分析的。

https://github.com/quark-engine/quark-engine

Engine源碼

android惡意軟件分析框架，可以是虛擬機檢測、模擬器檢測、自我證書檢查、管道檢測。跟蹤pid檢查等

https://github.com/droidefense/engine

Adhrit源碼

它用于基于 Ghera 基準進行深入的偵測和靜態字節碼分析，它能滿足移動安全測試和自動化所有需求的高效解決方案

https://github.com/abhi-r3v0/Adhrit

Tai-e源碼

Java靜態分析框架，它可以說是我們提出的新穎框架和經典框架（如煙灰，WALA，Doop和SpotBugs）的“最佳”設計。Tai-e易于學習，易于使用，高效且高度可擴展，可以輕松地在其上開發新的分析。

https://github.com/pascal-lab/Tai-e

Riskscanner源碼

RiskScanner 是開源的多云安全合規掃描平臺，基于 Cloud Custodian 和 Nuclei 引擎，實現對主流公(私)有云資源的安全合規掃描和漏洞掃描。

https://github.com/fit2cloud/riskscanner

bombus源碼

Android中的一個很不錯的安全合規審計平臺

https://github.com/momosecurity/bombus

subDomainsBrute

用于滲透測試器的快速子域暴力工具

https://github.com/lijiejie/subDomainsBrute

Inventus源碼

Inventus它是可以通過抓取特定域及其發現的任何子域來查找其子域。

https://github.com/nmalcolm/Inventus

Amass源碼

它用于深入的攻擊面映射和資產挖掘

https://github.com/OWASP/Amass

審核編輯：劉清