码迷,mamicode.com
首页 > 移动开发 > 详细

[移动安全]从某甲方app安全内测的过程到分析

时间:2017-03-05 14:21:20      阅读:406      评论:0      收藏:0      [点我收藏+]

标签:setting   http   height   nec   comm   oracle   img   blog   sha   

what is sercuriy Group ,i don‘t know .  e share

废话不多说,准备工作,顺手写个安装过程:移动安全框架 (MobSF) 是一个智能化、一体化的开源移动应用(Android / iOS)自动测试框架,能够对以上两种移动应用进行静态和动态分析(动态分析目前暂时只支持Android)。

它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时,MobSF 也能够通过其API Fuzzer功能模块,对 Web API 的安全性进行检测,如收集信息,分析安全头部信息,识别移动API 的具体漏洞,如XXE、SSRF、路径遍历,IDOR以及其他的与会话和API调用速率限制有关的逻辑问题。

运行环境

? Python 2.7,下载请点击:Python 2.7

? Oracle JDK 1.7或以上版本,下载请点击:Oracle JDK;

? Oracle VirtualBox 下载请点击: VirtualBox;

? iOS IPA分析(需在 Mac系统上执行)所需命令行工具( Mac系统)下载请点击:Conmand-line tool;

? 硬件配置:4GB 或以上内存,5G硬盘空间。 

技术分享

下载

MobSF v0.9.4.2 MobSF

技术分享

MobSF VM 0.2 ova MobSF.VM 。

技术分享

 dowm zip and open your Vbox to set your proxy

技术分享

Modify your uuid and suuid

技术分享

*****************\Mobile-Security-Framework-MobSF-master\MobSF\settings.py

技术分享

静态分析

Android APK

 技术分享

动态分析

Android APK

 

技术分享

 动态分析类似与Burp那样截包分析,它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时,MobSF 也能够通过其API Fuzzer功能模块,对 Web API 的安全性进行检测,如收集信息,分析安全头部信息,识别移动API 的具体漏洞,如XXE、SSRF、路径遍历,IDOR以及其他的与会话和API调用速率限制有关的逻辑问题。

 技术分享

 

unable to connect to ??what the f4ck。可能是前面端口设置的一些其他问题,这里检查下先

[移动安全]从某甲方app安全内测的过程到分析

标签:setting   http   height   nec   comm   oracle   img   blog   sha   

原文地址:http://www.cnblogs.com/adislj777/p/6499036.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!