加入收藏 | 设为首页 | 会员中心 | 我要投稿 百科站长网 (https://www.baikewang.com.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 综合聚焦 > 移动互联 > 应用 > 正文

移动安全框架(MobSF)

发布时间:2022-10-18 11:12:19 所属栏目:应用 来源:
导读:  目录

  1、简介

  2、所需环境

  3、安装部署

  4、运行

  5、操作

  5.1、静态分析

  5.2、动态分析

  5.3、最近扫描

  5.4、REST API

  1、简介
  目录
 
  1、简介
 
  2、所需环境
 
  3、安装部署
 
  4、运行
 
  5、操作
 
  5.1、静态分析
 
  5.2、动态分析
 
  5.3、最近扫描
 
  5.4、REST API
 
  1、简介
 
  移动安全框架(MobSF)是一个自动化、一体化的移动应用程序(Android/iOS/Windows)渗透测试、恶意软件分析和安全评估框架,能够执行静态和动态分析。MobSF 支持移动应用程序二进制文件(APK、XAPK、IPA 和 APPX)以及压缩的源代码,并提供 REST API,以便与 CI/CD 或 DevSecOps 管道无缝集成。动态分析器帮助您执行运行时安全性评估和交互式检测测试。
 
  如果使用 Docker 部署的话,Docker 不支持动态分析。
 
  GitHub地址:
 
  2、所需环境
 
  本篇以 Windows 为例
 
  1、安装 Git(示例版本 Git 2.35.1)
 
  2、安装 Python 3.8-3.9(示例版本 Python 3.8.10)
 
  3、安装 JDK 8+(示例版本 JDK 1.8.0_172)
 
  4、安装 Microsoft Visual C++ Build Tools
 
  5、安装 OpenSSL(non-light)
 
  6、安装 wkhtmltopdf,并将包含 wkhtmltopdf 的二进制文件路径添加到环境变量 PATH 里
 
  3、安装部署
 
  1、下载最新项目
 
  git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git
  2、跳转到项目目录里
 
  cd Mobile-Security-Framework-MobSF
  3、执行安装
 
  setup.bat
  注意:Windows 用户在运行 setup.bat 之前,请关闭所有 MobSF 打开过的文件夹和用 MobSF 打开过的文本编辑器,因为这些都会引起权限错误造成安装中断。
 
  4、运行
 
  移动应用安全_移动应用安全_税务移动应用安全开发和评估规范
 
  1、MobSF 项目根目录下执行启动
 
  run.bat 服务器IP:端口号
  例如 run.bat 127.0.0.1:8000
  2、打开浏览器,访问地址 :8000/
 
  如图所示:MobSF 启动成功。
 
  5、操作
 
  5.1、静态分析
 
  1、点击上传和分析按钮
 
  选择要分析的应用程序,例如 ApiDemos-debug.apk
 
  2、文件上传后,分析中
 
  3、分析完成后的静态分析报告
 
  报告列出了信息、签名者证书、权限、安全分析、恶意软件分析、侦察、PDF 报告、打印报告、动态分析报告等。
 
  PDF 报告。
 
  4、点击安全记分卡
 
  可以看到安全分数、风险评级、严重性分布、隐私风险等信息。
 
  5.2、动态分析
 
  1、点击进入 DYNAMIC ANALYZER
 
  如果报错:Android Runtime not found!
 
  解决方法:打开并运行模拟器即可(例如 Genymotion )。
 
  移动应用安全_移动应用安全_税务移动应用安全开发和评估规范
 
  再次刷新页面就可以了。
 
  2、在可用的应用程序里进行动态分析,或者在设备中的应用里进行动态分析
 
  3、例如在可用的应用程序,开始动态分析
 
  点击显示屏幕,之后点击开始检测。
 
  进行 TLS/SSL 安全测试、导出的活动测试、活动测试等。
 
  点击 Logcat Stream,可以实时查看日志信息。
 
  4、点击生成报告
 
  动态分析报告列出了信息、TLS/SSL 安全测试、导出的活动测试、活动测试、截图、运行时依赖、恶意软件分析、侦察、文件分析、下载/打印报告等。
 
  5.3、最近扫描
 
  1、点击进入 RECENT SCANS
 
  2、查看历史扫描的应用程序信息,可进行查看静态报告、查看动态报告、差异或比较、删除扫描、查看 PDF 等操作
 
  5.4、REST API
 
  1、点击进入 API DOCS
 
  2、可查看提供的 REST API 文档,方便与 CI/CD 或 DevSecOps 管道无缝集成
 
  针对静态分析和动态分析,提供的 API 方法。
 
  3、例如静态分析的查看最近扫描方法 api/v1/scans
 
  根据提供的示例,在 Postman 上进行请求移动应用安全,注意请求头添加密钥信息,如图所示,请求成功。
 
  其他 API 方法按照提供的示例进行请求即可。
 

(编辑:百科站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2012-2022 https://www.baikewang.com.cn/ All Rights Reserved. 百科站长网

      ICP备案:浙ICP备07501134号