移动安全测试框架MobSF

MobSF是什么？
Mobile Security Framework (移动安全框架) 是一款智能、集成型、一体化的开源移动应用(Android/iOS)自动渗透测试框架，它能进行静态、动态的分析。同时，MobSF也能够做Web API的安全测试。
该框架可以进行高效迅速的移动应用安全分析。文章将介绍MobSF的使用指南和检测项目，并对框架结构进行分析。
Github地址：
https://github.com/ajinabraham/Mobile-Security-Framework-MobSF
环境搭建文档地址：https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/wiki/1.-Documentation
静态分析环境搭建
1、Python 2.7 的下载安装
2、Oracle JDK 1.7以上的安装以及环境变量的配置
3、Windows App 静态分析需要windows的机器
在windows系统上
在 C:\创建 MobSF文件夹并在此文件夹下拉取github的代码

git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git
cd c:\MobSF
Windows输入如下的命令：
C:\Python27\python.exe -m pip install -r requirements.txt

图片.png

下载好如下

图片.png

图片.png

执行命令：python manage.py runserver

图片.png

静态分析的配置的注意点
1、在C：\MobSF 路径下有一个 requirements.txt， Windows下默认是txt格式，需要将其设置为 utf-8格式。方法：鼠标右键选择文件 -> 编辑 -> 文件 -> 另存为..... 选择 utf-8格式 -> 确定。
2、下载MobSF最新发布版下载地址： MobSF；将下载后解压到c:\MobSF
至此MobSF的静态分析的配置就算是完成了，默认端口是8000可以在浏览器访问网址：

图片.png

首先对于静态分析，首先是对android的apk进行分析其次是对ipa的文件进行分析
apk文件的静态解析
使用docker进行安装
docker pull opensecurity/mobile-security-framework-mobsf
docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest
镜像地址： https://hub.docker.com/r/opensecurity/mobile-security-framework-mobsf/

图片.png

参考： https://github.com/MobSF/Mobile-Security-Framework-MobSF/wiki/7.-Docker-Container-for-MobSF-Static-Analysis

参考：http://blog.csdn.net/hk_5788/article/details/52763979