[移动安全]从某甲方app安全内测的过程到分析
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[移动安全]从某甲方app安全内测的过程到分析相关的知识,希望对你有一定的参考价值。
what is sercuriy Group ,i don‘t know . e share
废话不多说,准备工作,顺手写个安装过程:移动安全框架 (MobSF) 是一个智能化、一体化的开源移动应用(android / ios)自动测试框架,能够对以上两种移动应用进行静态和动态分析(动态分析目前暂时只支持Android)。
它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时,MobSF 也能够通过其API Fuzzer功能模块,对 Web API 的安全性进行检测,如收集信息,分析安全头部信息,识别移动API 的具体漏洞,如XXE、SSRF、路径遍历,IDOR以及其他的与会话和API调用速率限制有关的逻辑问题。
运行环境
? Python 2.7,下载请点击:Python 2.7
? Oracle JDK 1.7或以上版本,下载请点击:Oracle JDK;
? Oracle VirtualBox 下载请点击: VirtualBox;
? iOS IPA分析(需在 Mac系统上执行)所需命令行工具( Mac系统)下载请点击:Conmand-line tool;
? 硬件配置:4GB 或以上内存,5G硬盘空间。
下载
MobSF v0.9.4.2 MobSF;
MobSF VM 0.2 ova MobSF.VM 。
dowm zip and open your Vbox to set your proxy
Modify your uuid and suuid
*****************\\Mobile-Security-Framework-MobSF-master\\MobSF\\settings.py
静态分析
Android APK
动态分析
Android APK
动态分析类似与Burp那样截包分析,它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时,MobSF 也能够通过其API Fuzzer功能模块,对 Web API 的安全性进行检测,如收集信息,分析安全头部信息,识别移动API 的具体漏洞,如XXE、SSRF、路径遍历,IDOR以及其他的与会话和API调用速率限制有关的逻辑问题。
unable to connect to ??what the f4ck。可能是前面端口设置的一些其他问题,这里检查下先
以上是关于[移动安全]从某甲方app安全内测的过程到分析的主要内容,如果未能解决你的问题,请参考以下文章