1、简介
移动安全框架(MobSF)是一个自动化、一体化的移动应用程序(Android/iOS/Windows)渗透测试、恶意软件分析和安全评估框架,能够执行静态和动态分析。MobSF 支持移动应用程序二进制文件(APK、XAPK、IPA 和 APPX)以及压缩的源代码,并提供 REST API,以便与 CI/CD 或 DevSecOps 管道无缝集成。动态分析器帮助您执行运行时安全性评估和交互式检测测试。
如果使用 Docker 部署的话,Docker 不支持动态分析。
GitHub地址:https://github.com/MobSF/Mobile-Security-Framework-MobSF
2、所需环境
1、安装 Git(示例版本 Git 2.35.1)
2、安装 Python 3.8-3.9(示例版本 Python 3.8.10)
3、安装 JDK 8+(示例版本 JDK 1.8.0_172)
4、安装 Microsoft Visual C++ Build Tools
5、安装 OpenSSL(non-light)
6、安装 wkhtmltopdf,并将包含 wkhtmltopdf 的二进制文件路径添加到环境变量 PATH 里
3、安装部署
本篇以 Windows 为例
1、下载最新项目
git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git
2、跳转到项目目录里
cd Mobile-Security-Framework-MobSF
3、执行安装
setup.bat
注意:Windows 用户在运行 setup.bat 之前,请关闭所有 MobSF 打开过的文件夹和用 MobSF 打开过的文本编辑器,因为这些都会引起权限错误造成安装中断。
4、运行
1、MobSF 项目根目录下执行启动
run.bat 服务器IP:端口号
例如 run.bat 127.0.0.1:8000
2、打开浏览器,访问地址 http://localhost:8000/
如图所示:MobSF 启动成功。
5、操作
5.1、静态分析
1、点击上传和分析按钮
选择要分析的应用程序,例如 ApiDemos-debug.apk
2、文件上传后,分析中
3、分析完成后的静态分析报告
报告列出了信息、签名者证书、权限、安全分析、恶意软件分析、侦察、PDF 报告、打印报告、动态分析报告等。
PDF 报告。
4、点击安全记分卡
可以看到安全分数、风险评级、严重性分布、隐私风险等信息。
5.2、动态分析
1、点击进入 DYNAMIC ANALYZER
如果报错:Android Runtime not found!
解决方法:打开并运行模拟器即可(例如 Genymotion )。
再次刷新页面就可以了。
2、在可用的应用程序里进行动态分析,或者在设备中的应用里进行动态分析
3、例如在可用的应用程序,开始动态分析
点击显示屏幕,之后点击开始检测。
进行 TLS/SSL 安全测试、导出的活动测试、活动测试等。
点击 Logcat Stream,可以实时查看日志信息。
4、点击生成报告
动态分析报告列出了信息、TLS/SSL 安全测试、导出的活动测试、活动测试、截图、运行时依赖、恶意软件分析、侦察、文件分析、下载/打印报告等。
5.3、最近扫描
1、点击进入 RECENT SCANS
2、查看历史扫描的应用程序信息,可进行查看静态报告、查看动态报告、差异或比较、删除扫描、查看 PDF 等操作
5.4、REST API
1、点击进入 API DOCS
2、可查看提供的 REST API 文档,方便与 CI/CD 或 DevSecOps 管道无缝集成
针对静态分析和动态分析,提供的 API 方法。
3、例如静态分析的查看最近扫描方法 api/v1/scans
根据提供的示例,在 Postman 上进行请求,注意请求头添加密钥信息,如图所示,请求成功。
其他 API 方法按照提供的示例进行请求即可。
原创文章,作者:EASY,如若转载,请注明文章出处:
暂无评论内容