我们从2011年坚守至今,只想做存粹的技术论坛。  由于网站在外面,点击附件后要很长世间才弹出下载,请耐心等待,勿重复点击不要用Edge和IE浏览器下载,否则提示不安全下载不了

 找回密码
 立即注册
搜索
查看: 546|回复: 0

移动安全测试框架 MobSF

[复制链接]

该用户从未签到

139

主题

157

回帖

102

积分

二级逆天

积分
102

社区居民忠实会员社区劳模原创达人终身成就奖

QQ
发表于 2016-3-20 11:47:48 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区

您需要 登录 才可以下载或查看,没有账号?立即注册

×
移动安全测试框架 MobSF
移动安全框架 (MobSF) 是一个智能化、一体化的开源移动应用(Android / iOS)自动测试框架,能够对以上两种移动应用进行静态和动态分析(动态分析目前暂时只支持Android)。

它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时,MobSF 也能够通过其API Fuzzer功能模块,对 Web API 的安全性进行检测,如收集信息,分析安全头部信息,识别移动API 的具体漏洞,如XXE、SSRF、路径遍历,IDOR以及其他的与会话和API调用速率限制有关的逻辑问题。

运行环境

• Python 2.7,下载请点击:Python 2.7

• Oracle JDK 1.7或以上版本,下载请点击:Oracle JDK;

• Oracle VirtualBox 下载请点击: VirtualBox;

• iOS IPA分析(需在 Mac系统上执行)所需命令行工具( Mac系统)下载请点击:Conmand-line tool;

• 硬件配置:4GB 或以上内存,5G硬盘空间。

安装

该框架目前暂时只于Windows 7, 8, 8.1, 10, Ubuntu, OSX Mavericks等系统平台上进行测试。

• Windows:解压MobSF压缩文件到C:\MobSF;

• Mac:解压MobSF压缩文件到/Users/[username]/MobSF;

• Linux:解压MobSF压缩文件到/home/[username]/MobSF。

配置静态分析器

通过pip安装MobSF Python 依赖包,以下为不同系统的命令执行操作,

Windows

C:\Python27\Scripts\pip.exe install -r requirements.txt
如果pip.exe在脚本目录中不可用,下载及重新安装最新版本的Python2.7。

Unix

pip install -r requirements.txt
运行MobSF

python manage.py runserver
如果需要在具体端口上运行,可以通过以下指令进行,

python manage.py runserver port_number
如果上述步骤都顺利正常执行的话,那么我们将会看到以下的输出内容,

3.png

配置动态分析器

配置MobSF VM

动态分析器目前只支持针对 Android APK文件进行分析,硬件环境要求为需要计算机拥有4GB 内存和支持完全虚拟化。

首先,配置动态分析器我们需要获取以下4个方面的信息,
(1)VM UUID

(2)快照 UUID

(3)主机/代理 IP

(4)VM/设备 IP

操作步骤

1、打开VirtualBox(本文主要以VirtualBox为样例),选择文件->导入应用,并选中MobSF_VM_X.X.ova 文件(下载地址可于前文查看);

4.png

2、在进行导入过程中,请勿更改任意配置,一切按照默认设置进入下一步;

3、一旦OVA文件导入成功,我们将在VirtualBox上看到一个以MobSF_VM_X.X命名的新的条目;

4、接下来右击MobSF VM,并选择设置一项,选中到网络选项卡,这里我们需要配置两个网络适配器;

(1)适配器1 启用并于attached to 中,选择Host-only Adapter模式,重命名适配器名称,因为我们需要通过该名称来识别主机/代理 IP,配置如下图;

5.png

(2)适配器2 启用并于attached to中,选择NAT模式,配置如下图。

6.png

5、保存上述设置,便可启动MobSF VM。当该VM启动的时候,记下VM的 IP地址;

7.png

6、一旦该虚机启动后,它会停留在一个锁屏状态上,而解锁密码默认为1234;

8.png

7、获取 主机/代理 IP

(1)Windows :在命令提示符中输入ipconfig,记下与适配器1 相同名称的适配器IP地址;

9.png

(2)Unix :在命令提示符中输入ifconfig,记下与适配器1 相同名称的适配器IP地址;

10.png

8、接着在MobSF 虚机中选中Wi-Fi设置,设置代理IP(上一步获取到的IP)和端口(1337);

11.png

9、保存设置,并回到MobSF虚机的Home界面上,等待大约30秒的时间,之后保存好 MobSF虚机的快照;

12.png

10、一旦快照保存好,右击MobSF虚机,选择“在Explorer中显示”或者“在 Finder中显示”;

13.png

11、在任意编辑器中打开MobSF_VM_X.X.vbox文件(这里使用的是sublime),记下 VM UUID以及快照UUID;

14.png


接下来,到了此时,我们已经有了如前文提到的,配置动态分析器所需要的信息,

(1)VM UUID

(2)快照 UUID

(3)主机/代理 IP

(4)VM/设备 IP

12、接下来我们打开MobSF/settings.py文件,并将其中参数的值设置如下,

(1)UUID = VM UUID

(2) SUUID = Snapshot UUID

(3)VM_IP = VM IP

(4)PROXY_IP = Host/Proxy IP

以下为配置样本,

15.png

最后,我们重新再打开服务器即可运行。部分功能如下图

静态分析

Android APK

16.png

17.png

iOS IPA

18.png

动态分析

Android APK

19.png

20.png

21.png22.png

Web API Fuzzer

23.png

24.png

介绍内容来自 FreeBuf黑客与极客

开源协议:  GPLv3
开发语言:  Java,Python
操作系统:  Android,iPhone/iPad/iPod
收录时间:  2016年03月20日
软件首页软件文档软件下载
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

每日签到,有金币领取。


Copyright ©2011-2024 NTpcb.com All Right Reserved.  Powered by Discuz! (NTpcb)

本站信息均由会员发表,不代表NTpcb立场,如侵犯了您的权利请发帖投诉

( 闽ICP备2024076463号-1 ) 论坛技术支持QQ群171867948 ,论坛问题,充值问题请联系QQ1308068381

平平安安
TOP
快速回复 返回顶部 返回列表