移动安全框架MobSF安装过程简介 (一)

移动安全框架 (MobSF) 是一个智能化、一体化的开源移动应用(Android / iOS)自动测试框架,能够对以上两种移动应用进行静态和动态分析(动态分析目前暂时只支持Android)。

它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时,MobSF 也能够通过其APIFuzzer功能模块,对 Web API的安全性进行检测,如收集信息,分析安全头部信息,识别移动API 的具体漏洞,如XXE、SSRF、路径遍历,IDOR以及其他的与会话和API调用速率限制有关的逻辑问题。

1.安装

1.1 运行环境

•Python 2.7(不推荐使用最新版)

•Oracle JDK 1.7或以上版本(JDK只要1.7以上版本即可)

 

•Oracle VirtualBox

• 硬件配置:4GB 或以上内存,5G硬盘空间。(用于运行虚拟机)

1.2 相关内容下载

下载最新版MobSF: https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/releases。下载后解压到C盘的MobSF文件夹。

下载MobSF VM 0.3 ova文件: 链接: https://pan.baidu.com/s/1hrNIpxE(提取密码: wsib)。OVA即开放虚拟化设备(Open Virtualization Appliance),这个ova文件用于在OracleVirtualBox中创建一个安卓虚拟机来进行APP的动态检测。

1.3 配置静态分析器

通过pip安装MobSF Python依赖包,在cmd中输入以下指令(win10已经支持cmd中ctrl-c和ctrl-v的操作):

        C:\Python27\Scripts\pip.exeinstall -r requirements.txt

        通常情况下由于不同机器安装的python的库和配置等都不尽相同,所以这一步出错的概率非常大,在安装过程中会提示缺少哪些组件,只要根据提示来下载安装所要求的组件即可(主要是lxml等)。

        在这一步完成之后即可运行MobSF,在cmd中进入到C:\MobSF目录下,输入以下指令:

        pythonmanage.py runserver port_number

        端口号可以不填,默认为8000。如果出现图1所示的界面,说明安装已经成功,并且MobSF已经成功启动。

 

移动安全框架MobSF安装过程简介 (一)_第1张图片

图1 启动MobSF

1.4 配置动态分析器

        动态分析器目前只支持针对 Android APK文件进行分析,硬件环境要求为需要计算机拥有4GB 内存和支持完全虚拟化。

首先,配置动态分析器我们需要获取以下4个方面的信息, VMUUID、快照 UUID、主机/代理 IP和VM/设备 IP。

打开VirtualBox,点击管理——导入虚拟电脑,如图2所示,然后在文件中找到之前下载的.ova文件,导入到虚拟机中。

 

移动安全框架MobSF安装过程简介 (一)_第2张图片

图2 导入虚拟电脑

导入成功后,右击这个虚拟机,选择设置这一项,如图3所示,选择网络选项卡,网卡1选择仅主机模式,并记住界面名称,网卡2选择NAT模式,然后即可保存设置启动虚拟机。

移动安全框架MobSF安装过程简介 (一)_第3张图片

                                                                                                                             图3 配置虚拟机    

                                                                                                                                       移动安全框架MobSF安装过程简介 (一)_第4张图片

图4 SuperSU配置

你可能感兴趣的:(Android安全)