MobSF: Mobile Security cadre tests automatisés

2019-03-22 12:45:40

projet d'accueil

https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/

brève introduction

Cadre de sécurité mobile (MobSF) est une automatisation intelligente des applications mobiles open source (Android / iOS) framework de tests automatisés, capables d'analyse statique et dynamique de deux applications ou plus mobiles

Il peut effectivement, rapidement et à l'application IPA fichier APK et l'analyse d'audit de code source comprimé. MobSF peut être utilisé sur les applications Android et iOS sont l'analyse de sécurité rapide et efficace. Ce cadre prend en charge les fichiers binaires (APK & IPA) et l'archive source. Pendant ce temps, MobSF est possible, la sécurité de l'API API Web fuzzer détectée par les modules de fonctions, telles que la collecte d'informations, l'analyse des informations d'en-tête de sécurité, l'identification de la vulnérabilité de spécifiques API mobile, tel que XXE, SSRF, chemin traversal, IDOR et d'autres le taux et la limitation de session API questions liées à la logique d'appel. De plus, MobSF intègre également Androdi Tamer et BlackArch.

vidéo

PPT connexes

  • OWASP APPSEC UE 2016 - diapositives | Vidéo
  • NULLCON 2016 - Diapositives
  • c0c0n 2015 - Diapositives

Installation et exploitation

Environnement d'exploitation

  • Python 2.7
  • Oracle JDK 1.7 ou ultérieure
  • Oracle VirtualBox
  • analyse iOS IPA (à exécuter sur Mac) l'outil de ligne de commande souhaitée (systèmes Mac)
  • Configuration matérielle: 4 Go ou plus de mémoire, 5G espace disque dur.

télécharger

Télécharger la dernière version MobSF: https: //github.com/ajinabraham/Mobile-Security-Framework-MobSF/releases

Télécharger MobSF VM 0.3 fichier ova: https: //goo.gl/QxgHZa

installer

Le cadre est actuellement testé uniquement sur Windows 7, 8, 8.1, 10, Ubuntu, Mac OS X Mavericks et d'autres plates-formes

  • Windows: Décompressez les fichiers compressés MobSF à C: \ MobSF
  • Mac: Décompressez les fichiers compressés MobSF / Users / / MobSF
  • Linux: Décompressez les fichiers compressés MobSF / home / / MobSF

Configuration analyseur statique

Grâce au montage pip MobSF dépendances Python

windows

C: \ Python27 \ Scripts de l'PIP.EXE installer -r requirements.txt

Re-installer Python 2.7 si PIP.EXE pas dans le répertoire de script avec votre prochaine

Unix

pip installer -r requirements.txt --user

course

python manage.py runserver

Si vous devez exécuter sur un port spécifique, vous pouvez exécuter la commande suivante:

python manage.py runserver PORT_NO

Si vous voulez MobSF placé sur une adresse IP publique peut exécuter la commande suivante:

python manage.py runserver IP: PORT_NO

Si tout va bien, vous verrez une sortie similaire au contenu suivant

Configuration Dynamic Analyzer

Configuration MobSF VM

analyseur dynamique ne supporte actuellement que le fichier APK Android pour l'analyse, les exigences de l'environnement matériel avec 4 Go de mémoire et de soutien pour la nécessité d'ordinateur entièrement virtualisés.

Tout d'abord, nous devons analyseur dynamique de configuration pour obtenir des informations sur les quatre aspects suivants,

  • VM UUID
  • Snapshot UUID
  • Host Agent / IP
  • VM périphériques / IP

mesures

  • VirtualBox est ouvert, choisissez Fichier - > matériel d'importation, sélectionnez le fichier MobSF_VM_X.X.ova

  • Au cours du processus d'importation, ne changent pas de configuration, l'étape suivante, conformément à tous les paramètres par défaut
  • Une fois que l'importation de fichier OVA est réussie, nous verrons une nouvelle entrée à MobSF_VM_X.X nommé sur VirtualBox
  • Ensuite, faites un clic droit MobSF VM et sélectionnez un paramètre, sélectionnez l'onglet Réseau, où nous avons besoin de configurer deux cartes réseau

1 pour activer l'adaptateur et attaché, sélectionnez le mode hôte uniquement l'adaptateur, le nom de l'adaptateur renomme, car nous avons besoin d'identifier un nom d'hôte / IP par lequel l'agent est disposé comme indiqué ci-dessous;

2 pour permettre à l'adaptateur et fixé à, sélectionner le mode NAT, la configuration telle que représentée ci-dessous:

  • Enregistrer les paramètres, lancez MobSF VM. Lorsque le début VM notez l'adresse IP de la machine virtuelle

  • Une fois que la machine virtuelle est sous tension, il reste sur un écran de verrouillage, déverrouiller le mot de passe par défaut est 1234

  • Obtenir votre hôte / IP Agent

windows  : Tapez ipconfig à l'invite de commande, l'adresse IP de l'adaptateur et l'adaptateur 1 est la même note du nom

Unix  : Entrez l'invite de commande ifconfig, l'adresse IP de l'adaptateur et l'adaptateur 1 est la même note du nom

Note: VirtualBox IP et MobSF VM IP doivent être dans le même segment de réseau. Si vous adaptateurs MobSF VM IP et IP sont sur des réseaux différents, s'il vous plaît se référer à la gamme: Lorsque MobSF VM VirtualBox avec l'adaptateur hôte n'est pas comment faire la même chose dans un réseau à l'échelle?

  • Sélectionnez ensuite une connexion Wi-Fi est disponible gratuitement machine virtuelle MobSF, définissez l'adresse IP proxy (étape sur la propriété intellectuelle acquise) et un port (1337)

  • Enregistrer les paramètres et revenir à l'écran d'accueil MobSF machine virtuelle, attendez environ 30 secondes, garder instantané de la machine virtuelle MobSF après

  • Une fois instantané enregistré, cliquez droit sur MobSF VM, puis sélectionnez Afficher dans l'Explorateur ou Afficher dans le Finder

  • MobSF_VM_X.X.vbox ouvrir le fichier dans un éditeur de texte, et notez la machine virtuelle UUID et UUID instantané

Voici le UUID UUID de la machine virtuelle, currentSnapshot est l'UUID de l'instantané.

  • Maintenant, nous avons les informations de configuration (hôte / IP proxy, VM IP, VM UUID et instantanés UUID) requis pour analyseur dynamique

Ouvrir MobSF / fichier settings.py, et dans lequel la valeur du paramètre est définie de la manière suivante

  • UUID = VM UUID
  • SUUID = Snapshot UUID
  • VM_IP = VM IP
  • PROXY_IP = Hôte / Proxy IP

Comme le montre la figure échantillon:

Voir plus configuration: https: //github.com/ajinabraham/Mobile-Security-Framework-MobSF/wiki/1.-Documentation

utilisation Captures d'écran

Analyse statique Android APK

Analyse statique iOS IPA

Analyse statique de Windows APPX

Analyse dynamique Android APK

API Web Fuzzer

Article original, auteur: SecToolkit, reproduit à partir de: http: //www.mottoin.com/tools/92477.html

« Livre vert » Pause cent millions! Oscar a également impressionné le cri public amis chauds: Ma et je recommande un bon film
Précédent
De la version mobile de ADAS, une machine à conduite automatique, le transit Anchi comment extirper les transports intelligents
Prochain
Zotye SR7-LAG Special Edition vendu 36.666.600, ou comment voyez-vous?
OPPO ajoutant famille de nouveaux membres! Le fonctionnaire a annoncé que Yang Zi, Zheng Kai devenir le nouveau porte-parole
Born Diva A-Lin a chanté « plus que la triste histoire triste, » les amis de la chanson thème: la première phrase crier à haute voix
l'industrie Internet est non seulement un réseau: le réseau est la base, la plate-forme est la clé
Exclusive, 2017 l'entrée au collège Questions d'examen Commentaires
Skoda Cody Senanayake configuration détaillée est!
100% choc! Il y a quelques heures suprême ont occupé un champ de blé!
Il a refusé une perte de temps ces téléphones mobiles est complètement chargée seulement une heure
Li Bai vs Han Xin, qui est le roi du terrain de jeu de gloire un frère?
âge tardif « enfant » des administrateurs, vous savez combien?
Google pixel 3 XL a publié mardi prochain, les médias étrangers ont dit la machine réelle déjà en vente
Marco Polo et Yuji, qui est supérieure?