- https://github.com/crifan/android_app_security_crack //电子书:安卓应用的安全和破解。goodjob。
- https://github.com/Brucetg/App_Security //App安全学习资源
- https://github.com/mirfansulaiman/Command-Mobile-Penetration-Testing-Cheatsheet //移动安全测试条例
- https://github.com/OWASP/owasp-mstg OWASP Mobile Security Testing Guide移动安全测试资源
- https://github.com/MobSF/Mobile-Security-Framework-MobSF //软件自动化审计框架,支持docker运行。android、ios、win
- https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security/ //Py。Runtime Mobile Security (RMS) 移动端动态测试
- https://github.com/mwrlabs/drozer //Py。MWR Labs开源Android 安全测试框架,支持编写自定义模块。
- https://github.com/nccgroup/house //JS,Py。运行时手机 App 分析工具包, 带Web GUI
- https://github.com/nettitude/scrounger //Py。Linux下iOS和Android移动应用程序渗透测试框架
- https://gitlab.com/kalilinux/nethunter/build-scripts/kali-nethunter-project //移动端KaliHunter手机渗透测试系统
- https://github.com/cSploit/android //Java。cSploit: Android network pentesting suite手机渗透工具框架,可兼容msf
- https://github.com/euphrat1ca/Smartphone-Pentest-Framework //PY/C/C++。SPF移动端渗透测试框架,支持电话通讯协议SS7漏洞利用,进行远程SS7指令操作。Web:shevirah.com/dagah/;--
- https://github.com/metachar/PhoneSploit //Py。通过shodan搜索开启调试模式的安卓设备,利用Adb控制安卓设备。
- https://github.com/mesquidar/adbsploit //Py3。利用Adb控制安卓设备。
- https://termux.com/ //Termux是一个Android下一个高级的终端模拟器,开源且不需要root,支持apt管理软件包。
- https://github.com/Gameye98/Lazymux //Py3。通过Termux打造免root安卓渗透工具.
- https://github.com/frida/frida/ //PY\Java。Frida是一款通过JavaScript代码注入应用程序的跨平台hook框架,二进制逆向动态调试。Github:/dweinstein/awesome-frida;G:/andreafioraldi/frida-fuzzer;--
- https://github.com/sensepost/objection //Py。移动端动态调试安全检测,Frida公司开发。
- https://github.com/hanbinglengyue/FART/ //py。基于frida的ART环境下自动化脱壳方案。
- https://github.com/hluwa/ZenTracer //Py。frida插件,Android app 运行时实时追踪,调用的类名方法名。
- https://github.com/lyxhh/lxhToolHTTPDecrypt //js。基于frida/Burp/flask的app渗透测试,利用HTTP协议识别app加密算法、解密数据包。
- https://github.com/zsdlove/ApkVulCheck //Py3。对安卓apk进行特征值匹配。welljob。
- https://github.com/jboss-javassist/javassist //Java。能够操作字节码框架,轻易的修改class代码文件。2.2K
- https://github.com/programa-stic //基于Androguard 及Static Android Analysis Framework 的Android App静态分析引擎。
- https://github.com/WooyunDota/DroidSSLUnpinning //安卓证书锁定解除的工具
- https://github.com/Genymobile/scrcpy //C。基于adb连接使pc控制Android设备
- https://github.com/rovo89/Xposed //C++。Android动态修改hook,隐藏root执行权限。
- https://taichi.cool/ //Android魔改框架太极,可加载 Xposed 模块、修改系统和APP、拦截方法,执行 hook 逻辑等,支持免root与Magisk模式。greatjob。社区版。
- https://github.com/android-hacker/VirtualXposed //Java。基于VirtualApp 和 epic 免root使用xposed。greatjob。商业版。G:/asLody/VirtualApp;--
- https://github.com/Fuzion24/JustTrustMe //Java。App证书SSL注入抓包。xposed插件。
- https://github.com/monkeylord/XServer //xposed插件。注入拦截方法调用,进行通信协议加密、混淆的分析。
- https://github.com/pwn20wndstuff/Undecimus/ //iOS 11.0 - 12.4全版本越狱。
- https://github.com/axi0mX/ipwndfu //Py。checkm8利用ios底层全版本越狱
- https://github.com/dmayer/idb //Ruby。开源的iOS App安全评估工具,作者是Danl A.Mayer。
- https://github.com/mwrlabs/needle //Py。MWR Labs开发的一个开源iOS安全测试框架,同样支持开发自定义模块来扩展Needle的功能,目前主要功能包含对iOS应用数据存储,IPC。网络通信,静态代码分析,hooking及二进制文件防护等方面的安全审计。
- https://github.com/GeoSn0w/OsirisJailbreak12 //IOS12不完全越狱
- https://github.com/chaitin/passionfruit //iOS应用逆向与分析工具,可以大大加速iOS应用安全分析过程
- https://sukarodo.me/gr00t/ //IOS12全版本越狱工具
- https://github.com/samyk/frisky //针对 ios/mac OSX 应用的嗅探/修改/逆向/注入等工具
- https://github.com/LinusHenze/Keysteal //C++。窃取MacOS下KeyChain。CVE-2019-8526
- https://github.com/coffeehb/Some-PoC-oR-ExP/blob/master/check_icmp_dos.py //CVE-2018-4407,macos/ios缓冲区溢出可导致系统崩溃
- https://github.com/sickcodes/Docker-OSX //OSX-KVM in Docker! X11 Forwarding!,基于qemu和kvm封装的苹果镜像docker。
- https://www.joinfortify.com //HP出品的源代码安全审计工具Fortify SCA通过将其它语言转换成一种中间媒体文件NST(Normal Syntax Trcc),将源代码之间的调用关系、执行环境、上下文等分析清楚。通过匹配所有规则库中的漏洞。商业版。goodjob。
- https://www.sonarqube.org/ //27种语言数千种自动的静态代码分析规则。goodjob。
- https://www.checkmarx.com/ //源代码安全检测解决方案,动静态代码分析。商业版。
- https://securitylab.github.com/tools/codeql/ //GitHub开源代码审计,插件、函数库形式。G:/github/securitylab;--
- https://github.com/microsoft/ApplicationInspector //C#。基于规则代码审计,支持包括C、C++、C、Java、JavaScript、HTML、Python、Objective-C、GO、Ruby以及PowerShell等语言,支持报告输出。
- https://github.com/wufeifei/cobra //Py。基于AST抽象语法树源代码安全审计,支持PHP、Java等Web开发语言,并支持数十种类型文件。界面GUI。
- https://github.com/codespaces-io/codespaces //VSCode代码审计插件
- https://github.com/pumasecurity/puma-scan //C#。Visual Studio插件,实时代码审计。
- https://github.com/jeremylong/DependencyCheck //Java。对源代码进行扫描识别依赖项版本信息进行漏洞比赛。
- https://github.com/presidentbeef/brakeman //Ruby on Rails应用静态代码分析
- https://github.com/GoSSIP-SJTU/TripleDoggy //C。c/c++/object-c源代码检测框架,支持接口调用
- https://github.com/xfhg/intercept/ //Go。基于yaml与ripgrep的代码静态分析审计。
- https://www.kanxue.com/book-38-438.htm/ //第三课:Delphi代码审计--项目实战1
- https://github.com/RetireJS/grunt-retire //js.js扩展库漏洞扫描
- https://github.com/Aurore54F/JaSt //使用语法检测恶意/混淆的JS文件,https://www.blackhoodie.re/assets/archive/JaSt_blackhoodie.pdf
- https://github.com/ctxis/beemka //针对Electron App的漏洞利用工具包
- https://github.com/doyensec/electronegativity //Electron应用代码审计,App的错误配置和安全问题
- https://github.com/callforpapers-source/jshole/ //Js。js漏洞扫描。
- http://zeroyu.xyz/2019/03/11/NAVEX-Precise-and-Scalable-Exploit-Generation-for-Dynamic-Web-Applications/ //基于图数据库Web应用程序的漏洞利用生成框架。G:/aalhuz/navex;--
- https://github.com/euphrat1ca/SeaySourceCodeCheck //C#。PHP代码审计,法师Seay源代码审计系统2.1版本。noupdate。
- https://github.com/OneSourceCat/phpvulhunter //php。静态php代码审计.noupdate.
- https://github.com/ripsscanner/rips //php。php代码审计工具.noupdate.
- https://github.com/chuan-yun/Molten //C。PHP应用透明链路追踪工具。G:/Qihoo360/phptrace;--
- https://github.com/elcodigok/wphardening //py。WordPress插件代码审计
- https://github.com/ga0/pyprotect //C++。给python代码加密,防止逆向。
- https://github.com/pyupio/safety //Py。检查所有已安装 Python包,查找已知的安全漏洞
- https://github.com/facebook/pyre-check/ //Py3。facebook推出的Zoncolan基本版python代码静态审计工具。号称30分钟扫描一亿行代码库,bug漏洞都能找。
- https://github.com/shengqi158/pyvulhunter //Py。基于pysonar2的Python应用审计。NOUPDATE。G:/yinwang0/pysonar2;--
- https://github.com/PyCQA/bandit //Py。python代码安全漏洞审计
- https://github.com/python-security/pyt //Py。用于检测Python Web应用程序中的安全漏洞的静态分析工具
- https://github.com/securego/gosec //go。Go语言源码安全分析工具