首页 > 代码库 > [移动安全]从某甲方app安全内测的过程到分析
[移动安全]从某甲方app安全内测的过程到分析
what is sercuriy Group ,i don‘t know . e share
废话不多说,准备工作,顺手写个安装过程:移动安全框架 (MobSF) 是一个智能化、一体化的开源移动应用(Android / iOS)自动测试框架,能够对以上两种移动应用进行静态和动态分析(动态分析目前暂时只支持Android)。
它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时,MobSF 也能够通过其API Fuzzer功能模块,对 Web API 的安全性进行检测,如收集信息,分析安全头部信息,识别移动API 的具体漏洞,如XXE、SSRF、路径遍历,IDOR以及其他的与会话和API调用速率限制有关的逻辑问题。
运行环境
? Python 2.7,下载请点击:Python 2.7
? Oracle JDK 1.7或以上版本,下载请点击:Oracle JDK;
? Oracle VirtualBox 下载请点击: VirtualBox;
? iOS IPA分析(需在 Mac系统上执行)所需命令行工具( Mac系统)下载请点击:Conmand-line tool;
? 硬件配置:4GB 或以上内存,5G硬盘空间。
下载
MobSF v0.9.4.2 MobSF;
MobSF VM 0.2 ova MobSF.VM 。
dowm zip and open your Vbox to set your proxy
Modify your uuid and suuid
*****************\Mobile-Security-Framework-MobSF-master\MobSF\settings.py
静态分析
Android APK
动态分析
Android APK
动态分析类似与Burp那样截包分析,它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时,MobSF 也能够通过其API Fuzzer功能模块,对 Web API 的安全性进行检测,如收集信息,分析安全头部信息,识别移动API 的具体漏洞,如XXE、SSRF、路径遍历,IDOR以及其他的与会话和API调用速率限制有关的逻辑问题。
unable to connect to ??what the f4ck。可能是前面端口设置的一些其他问题,这里检查下先
[移动安全]从某甲方app安全内测的过程到分析