projet d'accueil
https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/
brève introduction
Cadre de sécurité mobile (MobSF) est une automatisation intelligente des applications mobiles open source (Android / iOS) framework de tests automatisés, capables d'analyse statique et dynamique de deux applications ou plus mobiles
Il peut effectivement, rapidement et à l'application IPA fichier APK et l'analyse d'audit de code source comprimé. MobSF peut être utilisé sur les applications Android et iOS sont l'analyse de sécurité rapide et efficace. Ce cadre prend en charge les fichiers binaires (APK & IPA) et l'archive source. Pendant ce temps, MobSF est possible, la sécurité de l'API API Web fuzzer détectée par les modules de fonctions, telles que la collecte d'informations, l'analyse des informations d'en-tête de sécurité, l'identification de la vulnérabilité de spécifiques API mobile, tel que XXE, SSRF, chemin traversal, IDOR et d'autres le taux et la limitation de session API questions liées à la logique d'appel. De plus, MobSF intègre également Androdi Tamer et BlackArch.
vidéo
PPT connexes
- OWASP APPSEC UE 2016 - diapositives | Vidéo
- NULLCON 2016 - Diapositives
- c0c0n 2015 - Diapositives
Installation et exploitation
Environnement d'exploitation
- Python 2.7
- Oracle JDK 1.7 ou ultérieure
- Oracle VirtualBox
- analyse iOS IPA (à exécuter sur Mac) l'outil de ligne de commande souhaitée (systèmes Mac)
- Configuration matérielle: 4 Go ou plus de mémoire, 5G espace disque dur.
télécharger
Télécharger la dernière version MobSF: https: //github.com/ajinabraham/Mobile-Security-Framework-MobSF/releases
Télécharger MobSF VM 0.3 fichier ova: https: //goo.gl/QxgHZa
installer
Le cadre est actuellement testé uniquement sur Windows 7, 8, 8.1, 10, Ubuntu, Mac OS X Mavericks et d'autres plates-formes
- Windows: Décompressez les fichiers compressés MobSF à C: \ MobSF
- Mac: Décompressez les fichiers compressés MobSF / Users / / MobSF
- Linux: Décompressez les fichiers compressés MobSF / home / / MobSF
Configuration analyseur statique
Grâce au montage pip MobSF dépendances Python
windows
C: \ Python27 \ Scripts de l'PIP.EXE installer -r requirements.txtRe-installer Python 2.7 si PIP.EXE pas dans le répertoire de script avec votre prochaine
Unix
pip installer -r requirements.txt --usercourse
python manage.py runserver
Si vous devez exécuter sur un port spécifique, vous pouvez exécuter la commande suivante:
python manage.py runserver PORT_NOSi vous voulez MobSF placé sur une adresse IP publique peut exécuter la commande suivante:
python manage.py runserver IP: PORT_NOSi tout va bien, vous verrez une sortie similaire au contenu suivant
Configuration Dynamic Analyzer
Configuration MobSF VM
analyseur dynamique ne supporte actuellement que le fichier APK Android pour l'analyse, les exigences de l'environnement matériel avec 4 Go de mémoire et de soutien pour la nécessité d'ordinateur entièrement virtualisés.
Tout d'abord, nous devons analyseur dynamique de configuration pour obtenir des informations sur les quatre aspects suivants,
- VM UUID
- Snapshot UUID
- Host Agent / IP
- VM périphériques / IP
mesures
- VirtualBox est ouvert, choisissez Fichier - > matériel d'importation, sélectionnez le fichier MobSF_VM_X.X.ova
- Au cours du processus d'importation, ne changent pas de configuration, l'étape suivante, conformément à tous les paramètres par défaut
- Une fois que l'importation de fichier OVA est réussie, nous verrons une nouvelle entrée à MobSF_VM_X.X nommé sur VirtualBox
- Ensuite, faites un clic droit MobSF VM et sélectionnez un paramètre, sélectionnez l'onglet Réseau, où nous avons besoin de configurer deux cartes réseau
1 pour activer l'adaptateur et attaché, sélectionnez le mode hôte uniquement l'adaptateur, le nom de l'adaptateur renomme, car nous avons besoin d'identifier un nom d'hôte / IP par lequel l'agent est disposé comme indiqué ci-dessous;
2 pour permettre à l'adaptateur et fixé à, sélectionner le mode NAT, la configuration telle que représentée ci-dessous:
- Enregistrer les paramètres, lancez MobSF VM. Lorsque le début VM notez l'adresse IP de la machine virtuelle
- Une fois que la machine virtuelle est sous tension, il reste sur un écran de verrouillage, déverrouiller le mot de passe par défaut est 1234
- Obtenir votre hôte / IP Agent
windows : Tapez ipconfig à l'invite de commande, l'adresse IP de l'adaptateur et l'adaptateur 1 est la même note du nom
Unix : Entrez l'invite de commande ifconfig, l'adresse IP de l'adaptateur et l'adaptateur 1 est la même note du nom
Note: VirtualBox IP et MobSF VM IP doivent être dans le même segment de réseau. Si vous adaptateurs MobSF VM IP et IP sont sur des réseaux différents, s'il vous plaît se référer à la gamme: Lorsque MobSF VM VirtualBox avec l'adaptateur hôte n'est pas comment faire la même chose dans un réseau à l'échelle?
- Sélectionnez ensuite une connexion Wi-Fi est disponible gratuitement machine virtuelle MobSF, définissez l'adresse IP proxy (étape sur la propriété intellectuelle acquise) et un port (1337)
- Enregistrer les paramètres et revenir à l'écran d'accueil MobSF machine virtuelle, attendez environ 30 secondes, garder instantané de la machine virtuelle MobSF après
- Une fois instantané enregistré, cliquez droit sur MobSF VM, puis sélectionnez Afficher dans l'Explorateur ou Afficher dans le Finder
- MobSF_VM_X.X.vbox ouvrir le fichier dans un éditeur de texte, et notez la machine virtuelle UUID et UUID instantané
Voici le UUID UUID de la machine virtuelle, currentSnapshot est l'UUID de l'instantané.
- Maintenant, nous avons les informations de configuration (hôte / IP proxy, VM IP, VM UUID et instantanés UUID) requis pour analyseur dynamique
Ouvrir MobSF / fichier settings.py, et dans lequel la valeur du paramètre est définie de la manière suivante
- UUID = VM UUID
- SUUID = Snapshot UUID
- VM_IP = VM IP
- PROXY_IP = Hôte / Proxy IP
Comme le montre la figure échantillon:
Voir plus configuration: https: //github.com/ajinabraham/Mobile-Security-Framework-MobSF/wiki/1.-Documentation
utilisation Captures d'écran
Analyse statique Android APK
Analyse statique iOS IPA
Analyse statique de Windows APPX
Analyse dynamique Android APK
API Web Fuzzer
Article original, auteur: SecToolkit, reproduit à partir de: http: //www.mottoin.com/tools/92477.html