移动安全框架(MobSF)

1、简介

移动安全框架(MobSF)是一个自动化、一体化的移动应用程序(Android/iOS/Windows)渗透测试、恶意软件分析和安全评估框架,能够执行静态和动态分析。MobSF 支持移动应用程序二进制文件(APK、XAPK、IPA 和 APPX)以及压缩的源代码,并提供 REST API,以便与 CI/CD 或 DevSecOps 管道无缝集成。动态分析器帮助您执行运行时安全性评估和交互式检测测试。

如果使用 Docker 部署的话,Docker 不支持动态分析。

GitHub地址:https://github.com/MobSF/Mobile-Security-Framework-MobSF

2、所需环境

1、安装 Git(示例版本 Git 2.35.1)

2、安装 Python 3.8-3.9(示例版本 Python 3.8.10)

3、安装 JDK 8+(示例版本 JDK 1.8.0_172)

4、安装 Microsoft Visual C++ Build Tools

5、安装 OpenSSL(non-light)

6、安装 wkhtmltopdf,并将包含 wkhtmltopdf 的二进制文件路径添加到环境变量 PATH 里

3、安装部署

本篇以 Windows 为例

1、下载最新项目

git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git
2、跳转到项目目录里

cd Mobile-Security-Framework-MobSF

3、执行安装

setup.bat

注意:Windows 用户在运行 setup.bat 之前,请关闭所有 MobSF 打开过的文件夹和用 MobSF 打开过的文本编辑器,因为这些都会引起权限错误造成安装中断。

4、运行

1、MobSF 项目根目录下执行启动

run.bat 服务器IP:端口号
例如 run.bat 127.0.0.1:8000

2、打开浏览器,访问地址 http://localhost:8000/

如图所示:MobSF 启动成功。

图片[1]-移动安全框架(MobSF)

5、操作

5.1、静态分析
1、点击上传和分析按钮

图片[2]-移动安全框架(MobSF)

选择要分析的应用程序,例如 ApiDemos-debug.apk

图片[3]-移动安全框架(MobSF)

2、文件上传后,分析中

图片[4]-移动安全框架(MobSF)

3、分析完成后的静态分析报告

报告列出了信息、签名者证书、权限、安全分析、恶意软件分析、侦察、PDF 报告、打印报告、动态分析报告等。

图片[5]-移动安全框架(MobSF)

PDF 报告。

图片[6]-移动安全框架(MobSF)

4、点击安全记分卡

图片[7]-移动安全框架(MobSF)

可以看到安全分数、风险评级、严重性分布、隐私风险等信息。

图片[8]-移动安全框架(MobSF)

5.2、动态分析
1、点击进入 DYNAMIC ANALYZER

图片[9]-移动安全框架(MobSF)

如果报错:Android Runtime not found!

图片[10]-移动安全框架(MobSF)

解决方法:打开并运行模拟器即可(例如 Genymotion )。

图片[11]-移动安全框架(MobSF)
图片[12]-移动安全框架(MobSF)

再次刷新页面就可以了。

图片[13]-移动安全框架(MobSF)

2、在可用的应用程序里进行动态分析,或者在设备中的应用里进行动态分析

图片[14]-移动安全框架(MobSF)

3、例如在可用的应用程序,开始动态分析

点击显示屏幕,之后点击开始检测。

图片[15]-移动安全框架(MobSF)

进行 TLS/SSL 安全测试、导出的活动测试、活动测试等。

图片[16]-移动安全框架(MobSF)
图片[17]-移动安全框架(MobSF)

点击 Logcat Stream,可以实时查看日志信息。

图片[18]-移动安全框架(MobSF)

4、点击生成报告

动态分析报告列出了信息、TLS/SSL 安全测试、导出的活动测试、活动测试、截图、运行时依赖、恶意软件分析、侦察、文件分析、下载/打印报告等。

图片[19]-移动安全框架(MobSF)

5.3、最近扫描

1、点击进入 RECENT SCANS

图片[20]-移动安全框架(MobSF)

2、查看历史扫描的应用程序信息,可进行查看静态报告、查看动态报告、差异或比较、删除扫描、查看 PDF 等操作

图片[21]-移动安全框架(MobSF)

5.4、REST API

1、点击进入 API DOCS

图片[22]-移动安全框架(MobSF)

2、可查看提供的 REST API 文档,方便与 CI/CD 或 DevSecOps 管道无缝集成

针对静态分析和动态分析,提供的 API 方法。

图片[23]-移动安全框架(MobSF)

3、例如静态分析的查看最近扫描方法 api/v1/scans

图片[24]-移动安全框架(MobSF)
图片[25]-移动安全框架(MobSF)

根据提供的示例,在 Postman 上进行请求,注意请求头添加密钥信息,如图所示,请求成功。

其他 API 方法按照提供的示例进行请求即可。

图片[26]-移动安全框架(MobSF)
原创文章,作者:EASY,如若转载,请注明文章出处:
© 版权声明
THE END
喜欢就支持一下吧
点赞15 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容