MobSF：一款移动（安卓、IOS）app安全测试框架的安装和简单使用

MobSF简介

移动安全框架 (MobSF) 是一个智能化、一体化的开源移动应用（Android / iOS）自动测试框架，能够对以上两种移动应用进行静态和动态分析（动态分析目前暂时只支持Android）。
它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时，MobSF 也能够通过其API Fuzzer功能模块，对 Web API 的安全性进行检测，如收集信息，分析安全头部信息，识别移动API 的具体漏洞，如XXE、SSRF、路径遍历，IDOR以及其他的与会话和API调用速率限制有关的逻辑问题。
这玩意很吃内存，虚拟机内存最好调高些

项目地址

https://github.com/MobSF/Mobile-Security-Framework-MobSF
文档
https://mobsf.github.io/docs/#/installation?id=windows

docker方式安装

因为大多数人没有那么高级的需求，这里先说docker方式安装
下载镜像，镜像比较大，需要耐心等待

docker pull opensecurity/mobile-security-framework-mobsf

启动容器

docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest

kali Linux下的安装

这是最新版的安装方式
安装Git sudo apt get install git
安装Python 3.7 sudo apt-get install python3.7
安装JDK 8+ sudo apt-get install openjdk-8-jdk
安装依赖

sudo apt install python3-dev python3-venv python3-pip build-essential libffi-dev libssl-dev libxml2-dev libxslt1-dev libjpeg8-dev zlib1g-dev wkhtmltopdf

安装

git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git
cd Mobile-Security-Framework-MobSF
./setup.sh

运行

./run.sh

这是之前从网上找的一个2018版本的安装方式，和上面的有区别，而且有不少坑，仅做个记录
先把文件扔到/home目录下，解压
安装依赖

pip install -r requirements.txt

有些python2和python3不兼容，比如我这里就是rsa包只有python3的

pip2 install rsa==3.4.2

运行

python manage.py runserver

然后浏览器访问kali的ip:8000即可，把文件拖进去

进度不显示，但是可以看终端的输出来确定现在的运行情况，另外，建议虚拟机内存4g以上，不然容易卡死

语言问题，貌似暂时没有支持多语言的计划，但是可以自己翻译