基础安全

https://github.com/euphrat1ca/Security-List

移动端资源

https://search.f-droid.org/ --开源安卓应用去中心化分发
https://www.apkmirror.com --谷歌安装包镜像
https://apkpure.com/cn --三方+Google play
https://cn.aptoide.com --应用分发
Google ->APK Downloader --chrome拓展 Google play源

移动安全

https://github.com/crifan/android_app_security_crack --电子书：安卓应用的安全和破解。goodjob。
https://github.com/Brucetg/App_Security --App安全学习资源
https://github.com/mirfansulaiman/Command-Mobile-Penetration-Testing-Cheatsheet --移动安全测试条例

移动端虚拟定位

https://github.com/Lerist/FakeLocation --安卓虚拟定位

移动端测试框架

https://github.com/OWASP/owasp-mstg OWASP Mobile Security Testing Guide移动安全测试资源
https://github.com/MobSF/Mobile-Security-Framework-MobSF --移动应用（Android / iOS / Windows）静态和动态分析测试框架。支持docker运行。
https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security/ --Py。Runtime Mobile Security (RMS) 移动端动态测试
https://github.com/mwrlabs/drozer --Py。MWR Labs开源Android 安全测试框架，支持编写自定义模块。
https://github.com/nccgroup/house --JS,Py。运行时手机 App 分析工具包。带Web GUI。
https://github.com/Meituan-Dianping/lyrebird --移动端MOCK测试工作台。
https://github.com/lyxhh/lxhToolHTTPDecrypt --js。基于frida/Burp/flask的app协议分析工具，利用HTTP协议识别app加密算法、解密数据包。goodjob。

移动端利用框架

https://github.com/nettitude/scrounger --Py。Linux下iOS和Android移动应用程序渗透测试框架
https://gitlab.com/kalilinux/nethunter/build-scripts/kali-nethunter-project --移动端KaliHunter手机渗透测试系统
https://github.com/cSploit/android --Java。cSploit: Android network pentesting suite手机渗透工具框架，可兼容msf
https://github.com/euphrat1ca/Smartphone-Pentest-Framework --PY/C/C++。SPF移动端渗透测试框架，支持电话通讯协议SS7漏洞利用，进行远程SS7指令操作。Web:shevirah.com/dagah/;--
https://github.com/metachar/PhoneSploit --Py。通过shodan搜索开启调试模式的安卓设备，利用Adb控制安卓设备。
https://github.com/mesquidar/adbsploit --Py3。利用Adb控制安卓设备。
https://termux.com/ --基于 Android 平台的开源 Linux 终端模拟器，使用 pkg(apt) 进行软件包的管理，无需 root 权限。W:搭建安卓服务器;--
https://github.com/Gameye98/Lazymux --Py3。通过Termux打造免root安卓渗透工具。

Android应用安全

https://github.com/frida/frida/ --PY,Java。Frida是一款通过JavaScript代码注入应用程序的跨平台hook框架，二进制逆向动态调试。Github:/dweinstein/awesome-frida;G:/andreafioraldi/frida-fuzzer;--
https://github.com/sensepost/objection --Py。移动端动态调试安全检测，Frida公司开发。
https://github.com/hanbinglengyue/FART/ --py。基于frida的ART环境下自动化脱壳方案。
https://github.com/hluwa/ZenTracer --Py。frida插件，Android app 运行时实时追踪，调用的类名方法名。
https://github.com/zsdlove/ApkVulCheck --Py3。对安卓apk进行特征值匹配。welljob。
https://github.com/jboss-javassist/javassist --Java。能够操作字节码框架，轻易的修改class代码文件。
https://github.com/programa-stic --基于Androguard 及Static Android Analysis Framework 的Android App静态分析引擎。
https://github.com/WooyunDota/DroidSSLUnpinning --安卓证书锁定解除的工具

安卓HOOK利用

https://github.com/rovo89/Xposed --C++。Android动态修改hook，隐藏root执行权限。
https://taichi.cool/ --安卓Xposed魔改框架太极，可加载 Xposed 模块、修改系统和APP、拦截方法，执行 hook 逻辑等，支持免root与Magisk模式。greatjob。社区版。
https://github.com/android-hacker/VirtualXposed --Java。基于VirtualApp 和 epic 免root使用xposed。greatjob。商业版。G:/asLody/VirtualApp;W:太极两仪--
https://github.com/Fuzion24/JustTrustMe --Java。App证书SSL注入抓包。xposed插件。
https://github.com/monkeylord/XServer --xposed插件。注入拦截方法调用，进行通信协议加密、混淆的分析。
https://github.com/LSPosed/LSPosed --edxposed进化版。P:Magisk分区;--
https://github.com/rev1si0n/lamd --Android reverse engineering & automation framework | 史上最强安卓抓包/逆向/HOOK & 集群控制/云手机/自动化辅助框架

macOS/IOS应用安全

https://github.com/pwn20wndstuff/Undecimus/ --iOS 11.0 - 12.4全版本越狱。
https://github.com/axi0mX/ipwndfu --Py。checkm8利用ios底层全版本越狱
https://github.com/dmayer/idb --Ruby。开源的iOS App安全评估工具，作者是Danl A.Mayer。
https://github.com/mwrlabs/needle --Py。MWR Labs开发的一个开源iOS安全测试框架，同样支持开发自定义模块来扩展Needle的功能，目前主要功能包含对iOS应用数据存储，IPC。网络通信，静态代码分析，hooking及二进制文件防护等方面的安全审计。
https://github.com/GeoSn0w/OsirisJailbreak12 --IOS12不完全越狱
https://github.com/chaitin/passionfruit --iOS应用逆向与分析工具，可以大大加速iOS应用安全分析过程
https://sukarodo.me/gr00t/ --IOS12全版本越狱工具
https://github.com/samyk/frisky --针对 ios/mac OSX 应用的嗅探/修改/逆向/注入等工具
https://github.com/LinusHenze/Keysteal --C++。窃取MacOS下KeyChain。CVE-2019-8526
https://github.com/coffeehb/Some-PoC-oR-ExP/blob/master/check_icmp_dos.py --CVE-2018-4407，macos/ios缓冲区溢出可导致系统崩溃
https://github.com/sickcodes/Docker-OSX --OSX-KVM in Docker! X11 Forwarding!，基于qemu和kvm封装的苹果镜像docker。

应用安全审计

https://mp.weixin.qq.com/s/d9RzCFkYrW27m1_LkeA2rw --系列 | 58集团白盒代码审计系统建设实践1：技术选型
https://www.joinfortify.com --HP出品的源代码安全审计工具Fortify SCA通过将其它语言转换成一种中间媒体文件NST（Normal Syntax Trcc），将源代码之间的调用关系、执行环境、上下文等分析清楚。通过匹配所有规则库中的漏洞。商业版。goodjob。
https://www.checkmarx.com/ --源代码安全检测解决方案，动静态代码分析。商业版。
https://www.sonarqube.org/ --27种语言数千种自动的静态代码分析规则。goodjob。G:/SonarSource/sonar-java;G:/pmd/pmd;--
https://github.com/microsoft/ApplicationInspector --C#。基于规则代码审计，支持包括C、C++、C、Java、JavaScript、HTML、Python、Objective-C、GO、Ruby以及PowerShell等语言，支持报告输出。G:/returntocorp/semgrep;--
https://securitylab.github.com/tools/codeql/ --GitHub数据流语法树代码审计，集成插件、函数库形式。G:/github/securitylab;--
https://www.freebuf.com/articles/web/283795.html --CodeQL从入门到放弃。G:/xsser/codeql_chinese;--
https://github.com/wufeifei/cobra --Py。基于AST语法树抽象源代码安全审计，支持PHP、Java等Web开发语言，并支持数十种类型文件。界面GUI。
https://github.com/murphysecurity/murphysec --Go。墨菲安全软件分析（SCA）、漏洞检测、专业漏洞库。
- Murphysec Code Scan/JetBrains IDE 插件市场中搜索“murphysec”
https://github.com/codespaces-io/codespaces --VSCode代码审计插件。
https://github.com/pumasecurity/puma-scan --C#。Visual Studio插件，实时代码审计。
https://github.com/jeremylong/DependencyCheck --Java。依赖项版本信息对源代码进行扫描识别。

Java代码审计

https://github.com/JoyChou93/java-sec-code --陌陌开源一键代码审计修复。G:/zsdlove/Hades;--
https://github.com/HXSecurity/DongTai-agent-java --火线洞态IAST 污点追踪 source sink，支持 python、Java

Ruby代码审计

https://github.com/presidentbeef/brakeman --Ruby on Rails应用静态代码分析

Clang+代码审计

https://github.com/GoSSIP-SJTU/TripleDoggy --C。c/c++/object-c源代码检测框架，支持接口调用。
https://github.com/joernio/joern --Java。C/C++/Java/Binary/Javascript code property graphs代码图流追踪。

二进制代码审计

https://github.com/xfhg/intercept/ --Go。基于yaml与ripgrep的代码静态分析审计。
https://www.kanxue.com/book-38-438.htm/ --第三课：Delphi代码审计--项目实战1

JS代码审计

https://github.com/RetireJS/grunt-retire --js.js扩展库漏洞扫描
https://github.com/Aurore54F/JaSt --使用语法检测恶意/混淆的JS文件，https://www.blackhoodie.re/assets/archive/JaSt_blackhoodie.pdf
https://github.com/ctxis/beemka --针对Electron App的漏洞利用工具包
https://github.com/doyensec/electronegativity --Electron应用代码审计，App的错误配置和安全问题
https://github.com/callforpapers-source/jshole/ --Js。js漏洞扫描。

PHP代码审计

http://zeroyu.xyz/2019/03/11/NAVEX-Precise-and-Scalable-Exploit-Generation-for-Dynamic-Web-Applications/ --基于图数据库Web应用程序的漏洞利用生成框架。G:/aalhuz/navex;--
https://github.com/euphrat1ca/SeaySourceCodeCheck --C#。PHP代码审计，法师Seay源代码审计系统2.1版本。noupdate。
https://github.com/OneSourceCat/phpvulhunter --php。静态php代码审计。noupdate。
https://github.com/ripsscanner/rips --php。php代码审计工具。noupdate。
https://github.com/chuan-yun/Molten --C。PHP应用透明链路追踪工具。G:/Qihoo360/phptrace;--
https://github.com/elcodigok/wphardening --py。WordPress插件代码审计

Python代码审计

https://github.com/ga0/pyprotect --C++。python代码加密防逆向。
https://github.com/pyupio/safety --Py。检查所有已安装 Python包，查找已知的安全漏洞。
https://github.com/facebook/pyre-check/ --Py3。facebook推出的Zoncolan基本版python代码静态审计工具。号称30分钟扫描一亿行代码库，bug漏洞都能找。
https://github.com/shengqi158/pyvulhunter --Py。基于pysonar2的Python应用审计。NOUPDATE。G:/yinwang0/pysonar2;--
https://github.com/PyCQA/bandit --Py。Python代码安全漏洞审计。
https://github.com/python-security/pyt --Py。用于检测Python Web应用程序中的安全漏洞的静态分析工具。

Golang代码审计

https://github.com/securego/gosec --go。Go语言源码安全分析工具。G:/system-pclub/GCatch;--

固件安全审计

https://github.com/seemoo-lab/polypyus --Py3。固件源码分析工具。

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

wiki_AppSecurity.md

wiki_AppSecurity.md

基础安全

移动端资源

移动安全

移动端虚拟定位

移动端测试框架

移动端利用框架

Android应用安全

安卓HOOK利用

macOS/IOS应用安全

应用安全审计

Java代码审计

Ruby代码审计

Clang+代码审计

二进制代码审计

JS代码审计

PHP代码审计

Python代码审计

Golang代码审计

固件安全审计

Files

wiki_AppSecurity.md

Latest commit

History

wiki_AppSecurity.md

File metadata and controls

基础安全

移动端资源

移动安全

移动端虚拟定位

移动端测试框架

移动端利用框架

Android应用安全

安卓HOOK利用

macOS/IOS应用安全

应用安全审计

Java代码审计

Ruby代码审计

Clang+代码审计

二进制代码审计

JS代码审计

PHP代码审计

Python代码审计

Golang代码审计

固件安全审计