深入探索移动安全新境界:Objection 开源工具评测

于 2024-08-09 07:44:13 发布
阅读量634 收藏 14
点赞数 18
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_01090/article/details/141045976
版权

🔍深入探索移动安全新境界:Objection 开源工具评测

objection📱 objection - runtime mobile exploration项目地址:https://gitcode.com/gh_mirrors/ob/objection

项目介绍

🌟 Objection —— 是一款基于Frida的移动端运行时探索工具包,专为安全研究人员设计。无需越狱或解锁,即可全面评估iOS和Android应用的安全状况。通过强大的交互性与功能集合,Objection成为每位移动端安全分析师的瑞士军刀。

项目技术分析

🚀 跨平台兼容性:Objjection无缝支持两大主流移动操作系统——iOS与Android,拓宽了应用范围,实现了多环境下的统一测试与分析。

🔧 利用Frida的强大:借助JavaScript脚本化能力,Objection能够动态地注入代码到运行中的应用程序中,进行深度检查。这种灵活性使得开发者可以编写复杂的逻辑来探测并操纵应用程序内部运作。

🛡️ 核心功能

  • 系统与文件系统探索:允许直接互动与检查容器文件系统。
  • SSL剥离:绕过SSL钉住,以查看潜在的数据传输漏洞。
  • 密钥链提取:帮助安全专家获取加密密钥信息,评估数据保护措施的有效性。
  • 内存操作:包括内存的dump和补丁,对于研究内存攻击至关重要。
  • 堆对象操控:揭示和调整堆上的对象状态,深入应用行为的核心。

项目及技术应用场景

🕵️‍♂️ 应用场景广泛

  • 安全审计:在应用发布前进行安全性验证,确保无后门与漏洞。
  • 企业级安全测试:确保企业内使用的APP不会泄露敏感信息。
  • 逆向工程辅助:对于合法的研究目的,理解复杂应用的工作原理。
  • 教育与培训:作为教学工具,帮助安全学者理解移动设备运行机制。

项目特点

🌈 易用性与社区支持:通过简单的命令行界面,即便是非专业安全人员也能快速上手。活跃的社区和详尽文档确保问题得以迅速解决。

🌐 持续更新与创新:随着移动安全领域的快速发展,Objection不断迭代,新增特性,并针对新出现的安全威胁提供解决方案。

💖 完全开源,自由扩展:遵循GPLv3许可,鼓励开发者贡献自己的插件和脚本,打造个性化工具集。

结语

Objection不仅是一款强大的工具,更是移动安全领域的一座桥梁,连接了技术与实践,将复杂的技术细节转化为实用的操作流程。无论是初入行的新手,还是经验丰富的安全专家,都能在Objection的帮助下,更深入地理解并防御移动应用的安全风险。立即安装,开启你的移动应用安全之旅!

安装命令简单直接:pip3 install objection
更多信息,请访问其官方GitHub仓库以及详尽的wiki页面。

Objection,是探索未知、守护安全的得力助手,让我们一起,在保障数字世界的路上,走得更远。

objection📱 objection - runtime mobile exploration项目地址:https://gitcode.com/gh_mirrors/ob/objection

伏葵飚Anastasia
关注
  • 18
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
一款移动设备运行时漏洞利用工具Objection
www_45zq_cn的博客
09-07 629
Objection是一款移动设备运行时漏洞利用工具,该工具由Frida驱动,可以帮助研究人员访问移动端应用程序,并在无需越狱或root操作的情况下对移动端应用程序的安全进行评估检查。 需要注意的是,该工具不涉及到越狱或root绕过,通过使用objection,我们可以很大程度地降低这些安全限制以及沙箱限制。 功能介绍 该工具支持iOS和Android,并且根据真实安全场景增加了很多的实用工具,下...
抓包 Hook 工具Objection
lihuayong的专栏
12-02 745
Objection 是一个基于 Frida 开发的命令行工具,它可以很方便的 Hook Java 函数和类,并输出参数,调用栈,返回值。因为 Objection 是基于 Frida 的所以必须先安装 Frida 然后才能安装 Objection为什么有了frida,还需要Objection呢,因为frida hook需要写JavaScript脚本代码,Objection就很方便把frida很多脚本都封装了,直接使用一条命令,就可以使用frida 进行hook,简化了很多hook写通用代码的过程。
Frida工具Objection使用
StepTp的博客
08-10 2680
文章目录前言一、Objection安装二、使用步骤三、插件`Wallbreaker`使用四、插件 FRIDA-DEXDump 及其使用 前言 本文记录Frida集成工具Objection的使用。 一、Objection安装 参考另一篇博客:Kali系统及Frida环境配置 可直接在conda环境下执行以下指令,该指令也会自动安装最版frida及 frida-tools,建议按博客安装指定版本frida工具。 python -m pip install objection 二、使用步骤
3. Android逆向-基于Frida的工具Objection
VoidHope的博客
08-28 6506
在Windows上直接尝试了安装最版本的Frida及Objection,遇到了问题,安装的坑,Objection安装版本需要配合Frida版本,不能在不指定版本的情况下直接安装Frida,因为默认会安装Frida最版本,这样在运行objection会提示错误。在开始熟悉Frida时,接触的示例是需要frida-server在一个root过的os环境中运行,便于读取/访问所有需要的数据或其他app。一般开发时AS会完成对AAPT工具的使用。使用的frida版本不会是最的,需要注意版本的一致。...
Python-objection运行时移动探索工具
08-10
在实际应用中,Objection可以与其他安全工具(如 Frida、MobSF 等)结合,形成一个全面的移动应用安全评估流程。安全研究人员可以利用这些工具发现漏洞,修复它们,或者在应用发布前进行安全性验证。总之,Python-...
objection-password:Objection.js的自动密码哈希
05-01
password 纱yarn add objection-password 版本兼容性节点版本插件版本<12> = 12 > = 3.x 如果您使用的是Node 12或更高版本,请使用插件的3.x版本,因为它包含bcrypt 5.x ,其中包含重要的安全,但仅与Node 12+...
objection-guid:Objection.js的自动GUID
04-30
Objection.js的自动GUID 此插件使用软件包为GUId生成向您的模型添加自动guid。 安装 NPM npm i objection-guid 纱 yarn add objection-guid 用法 产生GUID // Import the plugin. const guid = require ( '...
objection-keyset-pagination:Objection.js 的键集分页(基于光标的分页)插件
05-30
Objection-keyset-pagination 是 ORM 的一个插件,用于实现基于键集的分页,也称为游标分页。 键集分页需要严格的记录排序。 在用户界面方面,键集分页与无限滚动元素配合得很好。 键集分页可提供稳定的结果。 下一...
objection-auth:Objection.js的身份验证方法
04-30
Objection.js的身份验证 该软件包包括可用于网站身份验证的插件: Authenticatable-为用户模型生成哈希密码。 在bcrypt使用bcrypt 。 可恢复-生成密码重置令牌。 安装 npm install objection-auth 用法 可验证的 /...
Objection 基础入门 APP 逆向系列
zhaoxiaoba123的博客
10-26 1064
如果说frida提供的各种API基础上可以实现无数的具体功能,那么objection就可以认为是将各种常用功能整合进工具中供我们直接在命令行中使用的利器。
objection命令语句大全简洁版
云霄IT的博客
03-25 473
4、hook某方法,并输出入参、返回值、堆栈(hook该方法的所有重载,可能有bug)3、hook某类的所有方法(不包含构造方法)1、搜索出包含关键字所有类(已加载的类)2、列出该类的所有方法(不包含构造方法)2、过sll证书效验。
【Frida】【Android】04_Objection安装和使用
最新发布
kinghzking的专栏
03-28 2664
Objection介绍如果说在Frida提供的各种API基础之上可以实现无数的具体功能,那么Objection就可以认为是一个将各种常用功能整合进工具中供我们直接在命令行中使用的利器,Objection甚至可以。Objection可以将Frida运行时所需要的frida-gadget.so重打包进App中,从而完成Frida的无root调试。,可以和包含frida-gadget.so这个so文件的App进行交互,运行Frida的Hook脚本,并分析Hook的结果。,已经2021年4月的版本了。
objection 基础知识
高新园养鸡场
07-24 4500
概念 Frida 提供了各种相对基础的 API 供我们调用,我们可以通过这些 API 的组合实现内存读写、禁用证书绑定、打印类所有方法之类的具体功能。如果能把这些功能封装起来,直接一条命令执行岂不美哉?于是有大佬将各种常用的功能整合进一个工具,供我们直接在命令行中使用,这个工具便是 objectionobjection 功能强大,命令众多,不用写一行代码便可实现诸如内存搜索、类和模块搜索、方法hook打印参数返回值调用栈等常用功能,是一个非常便捷的逆向工程内存漫游神器。   相关命令 安装命令:
objection 基本使用
zhaoxiaoba123的博客
10-26 4067
objection 默认通过USB连接设备,这里就不必和Frida 一样通过 -U参数指定USB模式连接,同时通过 -g 参数指定注入的进程并通过export命令进入REPL模式,进入REPL模式后就可以使用objection进行hook的常用命令。
Frida 进阶:脱壳、自动化、objection 内存漫游、hook anywhere、Wallbreaker插件、fridaUiTools
freeking101的博客
10-17 1万+
Frida 进阶:脱壳、自动化、objection 内存漫游、hook anywhere、Wallbreaker插件、fridaUiTools
:实用 FRIDA 进阶 --- objection :内存漫游、hook anywhere、抓包
墨鱼菜鸡
07-11 4255
转载:实用FRIDA进阶:内存漫游、hook anywhere、抓包:https://www.anquanke.com/post/id/197657 frida github 地址:https://github.com/frida/frida objection github:https://github.com/sensepost/objection...
objection 过证书绑定抓APP数据包【转发】
mingyqf的博客
09-20 790
在做APP安全测试时,往往会遇到抓不到数据包的情况,导致这种情况的原因有很多种,其中证书绑定是经常遇到的问题之一。如果我们在抓包时,使用了流量转发+透明代理还无法获取APP的数据包,那么大概率他就使用了证书绑定,除了使用插件和frida脚本hook外,这里还有一种更为简单的办法,使用objection一个命令搞定证书绑定。当然,由于证书绑定的功能是由开发者自定义的,因此并不存在一个通用的解决方案,Objection也只是对常见的App所使用的网络框架中对证书进行校验的代码逻辑进行了Hook修改。
基于Frida的工具介绍——Objection
热门推荐
lilac的博客
12-29 2万+
Objection 介绍 objection是一个基于Frida开发的命令行工具,它可以很方便的Hook Java函数和类,并输出参数,调用栈,返回值。 1.1 安装Objection pip install objection 1.2 启动Objection 保证Frida server开启 命令行输出 objection -g packageName explore 即可进入obj...
objection的定义 以及获取方式
zhou_Carly的博客
05-24 912
javascript中的复杂数据类型只有一种,即 对象(object)。{} 花括号,用来定义一个对象;对象由花括号包围。在括号内部,属性以键值对的形式,如 key : value 来定义,又称属性名和属性值。属性间由逗号分隔。var student={name:'Tom', finish_work:true, id:123};对象属性值有两种获取方式:name = student.name; 或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

伏葵飚Anastasia

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值