MobSF,一款开源移动安全测试框架
转载网址(中文):http://www.freebuf.com/sectool/99475.html
转载网址(英文):https://github.com/ajinabraham/Mobile-Security-Framework-MobSF
在此感谢作者:寰者
移动安全框架 (MobSF) 是一个智能化、一体化的开源移动应用(Android / iOS)自动测试框架,能够对以上两种移动应用进行静态和动态分析(动态分析目前暂时只支持Android)。
它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时,MobSF 也能够通过其API Fuzzer功能模块,对 Web API 的安全性进行检测,如收集信息,分析安全头部信息,识别移动API 的具体漏洞,如XXE、SSRF、路径遍历,IDOR以及其他的与会话和API调用速率限制有关的逻辑问题。
运行环境
• Python 2.7,下载请点击:Python 2.7
• Oracle JDK 1.7或以上版本,下载请点击:Oracle JDK;
• Oracle VirtualBox 下载请点击: VirtualBox;
• iOS IPA分析(需在 Mac系统上执行)所需命令行工具( Mac系统)下载请点击:Conmand-line tool;
• 硬件配置:4GB 或以上内存,5G硬盘空间。
下载
MobSF最新发布版下载地址:MobSF;
MobSF VM 0.2 ova 文件下载地址:MobSF.VM 。
安装
该框架目前暂时只于Windows 7, 8, 8.1, 10, Ubuntu, OSX Mavericks等系统平台上进行测试。
• Windows:解压MobSF压缩文件到C:\MobSF;
• Mac:解压MobSF压缩文件到/Users/[username]/MobSF;
• Linux:解压MobSF压缩文件到/home/[username]/MobSF。
配置静态分析器
通过pip安装MobSF Python 依赖包,以下为不同系统的命令执行操作,
Windows
C:\Python27\Scripts\pip.exe install -r requirements.txt
如果pip.exe在脚本目录中不可用,下载及重新安装最新版本的Python2.7。
Unix
pip install -r requirements.txt
运行MobSF
python manage.py runserver
如果需要在具体端口上运行,可以通过以下指令进行,
python manage.py runserver port_number
如果上述步骤都顺利正常执行的话,那么我们将会看到以下的输出内容,
配置动态分析器
配置MobSF VM
动态分析器目前只支持针对 Android APK文件进行分析,硬件环境要求为需要计算机拥有4GB 内存和支持完全虚拟化。
首先,配置动态分析器我们需要获取以下4个方面的信息,
(1)VM UUID
(2)快照 UUID
(3)主机/代理 IP
(4)VM/设备 IP
操作步骤
1、打开VirtualBox(本文主要以VirtualBox为样例),选择文件->导入应用,并选中MobSF_VM_X.X.ova 文件(下载地址可于前文查看);
2、在进行导入过程中,请勿更改任意配置,一切按照默认设置进入下一步;
3、一旦OVA文件导入成功,我们将在VirtualBox上看到一个以MobSF_VM_X.X命名的新的条目;
4、接下来右击MobSF VM,并选择设置一项,选中到网络选项卡,这里我们需要配置两个网络适配器;
(1)适配器1 启用并于attached to 中,选择Host-only Adapter模式,重命名适配器名称,因为我们需要通过该名称来识别主机/代理 IP,配置如下图;
(2)适配器2 启用并于attached to中,选择NAT模式,配置如下图。
5、保存上述设置,便可启动MobSF VM。当该VM启动的时候,记下VM的 IP地址;
6、一旦该虚机启动后,它会停留在一个锁屏状态上,而解锁密码默认为1234;
7、获取 主机/代理 IP
(1)Windows :在命令提示符中输入ipconfig,记下与适配器1 相同名称的适配器IP地址;
(2)Unix :在命令提示符中输入ifconfig,记下与适配器1 相同名称的适配器IP地址;
8、接着在MobSF 虚机中选中Wi-Fi设置,设置代理IP(上一步获取到的IP)和端口(1337);
9、保存设置,并回到MobSF虚机的Home界面上,等待大约30秒的时间,之后保存好 MobSF虚机的快照;
10、一旦快照保存好,右击MobSF虚机,选择“在Explorer中显示”或者“在 Finder中显示”;
11、在任意编辑器中打开MobSF_VM_X.X.vbox文件(这里使用的是sublime),记下 VM UUID以及快照UUID;
接下来,到了此时,我们已经有了如前文提到的,配置动态分析器所需要的信息,
(1)VM UUID
(2)快照 UUID
(3)主机/代理 IP
(4)VM/设备 IP
12、接下来我们打开MobSF/settings.py文件,并将其中参数的值设置如下,
(1)UUID = VM UUID
(2) SUUID = Snapshot UUID
(3)VM_IP = VM IP
(4)PROXY_IP = Host/Proxy IP
以下为配置样本,
最后,我们重新再打开服务器即可运行。部分功能如下图
静态分析
Android APK
iOS IPA
动态分析
Android APK
Web API Fuzzer
MobSF,一款开源移动安全测试框架相关推荐
- metasploit 一款开源的渗透测试框架
渗透神器漏洞利用框架metasploit from: https://zhuanlan.zhihu.com/p/30743401 metasploit是一款开源的渗透测试框架软件也是一个逐步发展与成熟 ...
- SteaLinG:一款针对社工的开源安全渗透测试框架
关于SteaLinG SteaLinG是一款功能强大的开源渗透测试框架,该框架专为社会工程学研究人员设计,可以帮助广大研究人员或组织内的安全专家测试目标设备的安全性.该工具基于Python开发,因此具 ...
- TrackRay:打造一款自己的渗透测试框架
rackRay简介 溯光,英文名"TrackRay",意为逆光而行,追溯光源.同时致敬安全圈前辈开发的"溯雪","流光". 溯光是一个开源的 ...
- Galileo:一款开源Web应用审计框架
Galileo是一款针对Web应用程序的开源渗透测试工具,可帮助开发和渗透测试人员识别并利用其Web应用程序中的漏洞. 截图 安装 $ git clone https://github.com/m4l ...
- 一款开源的播放器框架WMPlayer
2019独角兽企业重金招聘Python工程师标准>>> https://github.com/zhengwenming/WMPlayer HTTP Live Streaming直播( ...
- 5个最佳的Android测试框架
2019独角兽企业重金招聘Python工程师标准>>> 谷歌的Android生态系统正在不断地迅速扩张.有证据表明,新的移动OEM正在攻陷世界的每一个角落,不同的屏幕尺寸.ROM / ...
- 关于Android的自动化测试,你需要了解的5个测试框架
Appium Appium是一个开源的移动测试工具,支持iOS和Android,它可以用来测试任何类型的移动应用(原生.网络和混合).作为一个跨平台的工具,你可以在不同的平台上运行相同的测试.为了实现 ...
- Android自动化测试,5个必备的测试框架
Appium Appium是一个开源的移动测试工具,支持iOS和Android,它可以用来测试任何类型的移动应用(原生.网络和混合).作为一个跨平台的工具,你可以在不同的平台上运行相同的测试.为了实现 ...
- Linux下四款Web服务器压力测试工具(http_load、webbench、ab、siege)介绍
一.http_load程序非常小,解压后也不到100K http_load以并行复用的方式运行,用以测试web服务器的吞吐量与负载.但是它不同于大多数压力测试工具,它可以以一个单一的进程运行,一般不会 ...
最新文章
- 黑盒测试和白盒的区别,有哪些常见的白盒黑盒测试方法
- java判断点与线与面的关系_VC++开发GIS系统(280)判断点与面的拓扑关系
- dev c++怎么设置断点_Linux怎么挂载移动硬盘光盘U盘之案例分享
- 转 php include
- SQL server2017和ssms管理工具下载
- 混合列压缩(HCC)在OLAP及OLTP场景中的测试
- Kafka常用命令之kafka-console-consumer.sh
- AT2112 Non-redundant Drive
- [codeup 2143] 迷瘴
- 酷Q萌萌机器人_替代qqbot,使用酷q机器人实现qq机器人
- 烽火计划项目成果-目录索引
- Selenium打开IE浏览器方法以及报错处理
- oracle调用web severs,PL/SQL调用WebService
- ABclonal再添一员“蛋白~DNA互作研究”大将—CUTTag
- photoshop中怎么绘制虚线
- 笔记本屏幕颜色校证,有效解决屏幕发白、刺眼问题
- Oracle账号被锁定了?the account is locked?解决最多分3步!
- 俄罗斯、乌克兰程序员薪资大曝光!年薪普遍 15w+,女程序员比男程序员收入高?
- 这就是所谓的历史剧?
- 新浪Blog支持手机Wap浏览了