[移动安全]从某甲方app安全内测的过程到分析

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[移动安全]从某甲方app安全内测的过程到分析相关的知识,希望对你有一定的参考价值。

what is sercuriy Group ,i don‘t know .  e share

废话不多说,准备工作,顺手写个安装过程:移动安全框架 (MobSF) 是一个智能化、一体化的开源移动应用(android / ios)自动测试框架,能够对以上两种移动应用进行静态和动态分析(动态分析目前暂时只支持Android)。

它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时,MobSF 也能够通过其API Fuzzer功能模块,对 Web API 的安全性进行检测,如收集信息,分析安全头部信息,识别移动API 的具体漏洞,如XXE、SSRF、路径遍历,IDOR以及其他的与会话和API调用速率限制有关的逻辑问题。

运行环境

? Python 2.7,下载请点击:Python 2.7

? Oracle JDK 1.7或以上版本,下载请点击:Oracle JDK;

? Oracle VirtualBox 下载请点击: VirtualBox;

? iOS IPA分析(需在 Mac系统上执行)所需命令行工具( Mac系统)下载请点击:Conmand-line tool;

? 硬件配置:4GB 或以上内存,5G硬盘空间。 

技术分享

下载

MobSF v0.9.4.2 MobSF

技术分享

MobSF VM 0.2 ova MobSF.VM 。

技术分享

 dowm zip and open your Vbox to set your proxy

技术分享

Modify your uuid and suuid

技术分享

*****************\\Mobile-Security-Framework-MobSF-master\\MobSF\\settings.py

技术分享

静态分析

Android APK

 技术分享

动态分析

Android APK

 

技术分享

 动态分析类似与Burp那样截包分析,它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时,MobSF 也能够通过其API Fuzzer功能模块,对 Web API 的安全性进行检测,如收集信息,分析安全头部信息,识别移动API 的具体漏洞,如XXE、SSRF、路径遍历,IDOR以及其他的与会话和API调用速率限制有关的逻辑问题。

 技术分享

 

unable to connect to ??what the f4ck。可能是前面端口设置的一些其他问题,这里检查下先

以上是关于[移动安全]从某甲方app安全内测的过程到分析的主要内容,如果未能解决你的问题,请参考以下文章

移动应用分发平台都有哪些?哪个好一点?

移动APP测试之安全性测试策略分析

信息安全工程师笔记-移动应用安全需求分析与安全保护工程

APP安全性测试总结-移动APP安全测试

APP安全性测试总结-移动APP安全测试

移动设备httphttps数据包抓取(Fiddler篇)