大家好,又见面了,我是你们的朋友全栈君。
1.MobSF 简介#
MobSF是Mobile Security Framework的缩写,这是一款智能化的开源移动应用(Android、IOS、Windows)测试框架,可以对应用进行动态、静态分析,现在只支持Android动态分析。支持对APK、IPA文件及源码压缩包进行审计分析,可以对Android和IOS安全进行分析。MobSF还可以通过API Fuzzer功能,对Web API 的安全检测,可以对应用收集信息、分析安全头部信息、识别移动API的具体漏洞,如XXE、SSRF、路径遍历,IDOR以及其他的与会话和API调用速率限制有关的逻辑问题等。
2.MobSF docker 部署#
2.0.静态分析运行环境
Python 3.6+
Oracle JDK 1.7 or above
Mac OS Users must install Command-line tools – How to Install Commandline Tools in Mac
iOS IPA Analysis works only on Mac and Linux.
Windows App Static analysis requires a Windows Host or Windows VM for Mac and Linux. For Windows App Static Analysis, Read Windows App Static Analysis
2.1.安装镜像
docker pull opensecurity/mobile-security-framework-mobsf
2.2. 查看容器
docker images |grep mobsf
2.3.启动容器
docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest
2.4.在云主机安全组中开启 tcp 8000端口
2.5.访问http://47.98.122.11:8000/
显示如下:
3.MobSF 学习
3.1我们可以静态分析Android 文件,上传后重点关注有哪些URL请求连接,通过共有或者私有得威胁而情报查询URL信息是否正常。
3.2 我们也需要关注一些很有可能含有安全问题的函数。
https://github.com/MobSF/Mobile-Security-Framework-MobSF/
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/138519.html原文链接:https://javaforall.net
