一. 介绍:
MOBSF(Mobile Security Framework)是一个开源的移动安全渗透测试框架,用于评估移动应用程序的安全性。它提供了一组功能强大的工具和技术,帮助安全专业人员和开发人员发现和修复移动应用程序中的安全漏洞。
以下是MOBSF的主要特点和功能:
-
安全评估:MOBSF能够对移动应用程序进行全面的静态和动态分析,以评估其安全性。它可以检测和识别各种安全漏洞,包括但不限于代码注入、未授权访问、信息泄露、不安全的存储、不安全网络通信等。
-
漏洞扫描:MOBSF具备强大的漏洞扫描功能,可以自动发现移动应用程序中存在的安全漏洞。它支持扫描Android和iOS应用程序,并提供详细的漏洞报告和建议的修复措施。
-
恶意软件分析:MOBSF可以对移动应用程序进行恶意软件分析,检测并识别应用程序中的恶意行为。它使用静态和动态分析方法,包括行为监视、API调用审计、权限分析等。
-
安全代码审查:MOBSF允许安全专业人员对移动应用程序的源代码进行审查,以发现和修复潜在的安全问题。它提供了静态代码分析工具,可以检测代码中的漏洞和弱点。
-
报告生成:MOBSF能够生成详细的安全评估报告,包括发现的漏洞、风险评估、修复建议等。报告可以以多种格式导出,方便安全团队和开发人员进行后续的漏洞修复工作。
总而言之,MOBSF是一个功能强大的移动应用程序安全评估框架,能够帮助安全专业人员发现和修复移动应用程序中的安全漏洞,提高应用程序的安全性。它是开源的,可以在GitHub上获取并进行定制和扩展。
二. 环境搭建
- 安装 Python 3.8+ (安装了3.8或3.8以上版本) (必要的)
- 安装 JDK 8+ (必要的)
- 安装 感谢您下载 Visual Studio - Visual Studio (必要的)
- 安装OpenSSL (non-light) Win32/Win64 OpenSSL Installer for Windows - Shining Light Productions (默认安装路径不要修改)(必要的)
- 下载和安装wkhtmltopdf (并添加到环境变量PATH,该工具是将结果生成PDF的)
- 安装 雷电模拟器(动态分析需要用到,不然该功能用不了,模拟器也可以用其他的)
关于环境的安装就不做文章,csdn上有很多.
本文章使用的环境是:python 11, java jdk 17
三. MobSF 运行
github地址:https://github.com/MobSF/Mobile-Security-Framework-MobSF/archive/refs/heads/master.zip
命令:
- setup.bat 安装环境依赖
- run.bat 运行
下载=>解压=>打开
在地址栏上输入cmd并回车打开命令行终端:
运行 ./setup.bat 安装依赖
然后运行 run.bat 启动服务:http://127.0.0.1:8000
四. MobSF使用
1. 上传apk
2. 上传的apk,分析完成后跳转到报告页面