Mobile Security Framework 是一个自动化的移动App安全测试工具,支持Android和iOS双平台,能够进行静态、动态分析以及Web API测试。MobSF经常被用来对Android或iOS app进行快速安全分析,支持二进制APK&IPA形式以及源代码的zip压缩包。
MobSF支持静态和动态分析。静态分析,可以对Android、iOS和Windows端移动应用进行快速高效的安全分析,分析组件漏送、协议漏洞、API漏洞等,可以对压缩包内的源代码进行安全审计;动态分析,主要进行中间人攻击漏洞、协议安全、恶意URL的分析;动态分析,主要对App的交互进行抓包分析。
实测只有Docker和Ubuntu的环境的部署成功
MobSF部署(Ubuntu)
部署环境Ubuntu 18.04
#为保证相关工具包下载顺畅首先更新APT Source
先安装Python3-pip等工具
sudo apt-get install git
sudo apt-get install python3-pip
sudo apt-get install python3-venv
sudo apt-get install openjdk-8-jre-headless
sudo apt-get install net-tools
sudo apt-get install android-tools-adb android-tools-fastboot
可以更改PIP源
从GitHub上克隆MobSF项目,如果下载失败的话可以考虑从本地下载再将zip包上传
git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git
#或者下载好包之后直接上传到服务器,并解压
unzip Mobile-Security-Framework-MobSF-master.zip
进入目录运行安装脚本
cd Mobile-Security-Framework-MobSF-master ./setup.sh
#部分依赖包可能会下载失败,需要多试几次或者从https://pypi.org/下载并手动安装
使用以下命令开启MobSF服务
设置相应命令的环境变量
#注意最好使用root账号开启服务
source /MobSF/Mobile-Security-Framework-MobSF-master/venv/bin/activate
开启服务
python3 manage.py runserver 0.0.0.0:8081
#可以通过以下命令查看(TCP)端口是否开放起来
netstat -ntpl
#注意,由于网络问题,有时候下载依赖包可能会失败,有点组件可能会丢包,可以尝试多次./setup.sh部署
#注意若需要生成PDF报告的话还需要安装wkhtmltopdf工具
#wkhtmltopdf下载链接#此处需要根据系统下载相应的版本,下载了Ubuntu18.04 amd的版本
https://wkhtmltopdf.org/downloads.html
将包上传到服务器之后进行安装,需要先安装xfonts-75dpi
apt install xfonts-75dpi dpkg -i wkhtmltox_0.12.5-1.bionic_amd64.deb
安装完后即可生成PDF报告
参考链接
https://www.jianshu.com/p/4ba4312985ee
https://www.jianshu.com/p/273c34b05f14
https://testerhome.com/topics/11293
项目官网
https://github.com/MobSF/Mobile-Security-Framework-MobSF/wiki/1.-Documentation