跳转至

移动扫描配置文件

Ostorlab 提供不同的移动扫描配置文件,以满足 Android 和 iOS 应用程序的各种安全测试需求。这些配置文件在深度、重点和采用的分析技术方面有很大差异。

完整扫描

对移动二进制文件及其与后端服务的交互进行深度分析(静态 + 动态 + 后端)。

主要功能

  • 应用程序代码和资产的静态分析 (SAST)
  • 不安全的加密与硬编码机密检测。
  • 不安全的编程模式与敏感 API 使用审计。
  • 运行时应用程序行为的动态分析
  • 后端 API 模糊测试 (Fuzzing) 与通信安全分析。

快速扫描

一种轻量级、快速的静态分析配置文件,针对在开发周期内提供快速反馈进行了优化。

主要功能

  • 快速识别常见的配置错误。
  • 检测硬编码的 API 密钥、令牌和机密。
  • 分析源代码/字节码中易受攻击的编程模式。
  • 针对第三方 SDK 的快速 Software Composition Analysis (SCA)

移动端深度代理扫描

由 AI 驱动的自主评估,可发现移动应用程序逻辑中复杂的漏洞。

主要功能

  • 构建本地应用程序缺陷与后端漏洞的利用链。
  • 自动化识别复杂的攻击路径。
  • 通过运行时 Proof-of-Concept 漏洞利用代码验证发现结果。
  • AI 辅助导航复杂的应用程序工作流。

移动端单一漏洞评估

针对移动特定安全风险和漏洞的定向验证。

主要功能

  • 针对报告的移动漏洞进行定向验证
  • 确认可利用的缺陷(例如,Deep Link 劫持、不安全的 IPC)。
  • 对特定风险发现进行详细的影响验证

移动端屏蔽扫描

专注于应用程序加固和防篡改措施有效性的专业评估。

主要功能

  • 混淆质量和覆盖率分析。
  • 防篡改和完整性检查的有效性。
  • 防调试和 root/越狱检测验证。
  • 代码保护和环境屏蔽机制的分析

隐私扫描

专注于合规性的扫描,可识别隐私风险和未经授权的数据泄露。

主要功能

  • 检测暴露的 PII (Personally Identifiable Information)。
  • 分析流向第三方跟踪器和 SDK 的数据。
  • 对静态数据 (data-at-rest) 和传输中数据 (in-transit) 加密不足的审计
  • 针对隐私策略合规性进行权限使用验证