移动安全框架 (MobSF) 是一个智能化、一体化的开源移动应用(Android / iOS)自动测试框架,能够对以上两种移动应用进行静态和动态分析(动态分析目前暂时只支持Android)。
它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时,MobSF 也能够通过其APIFuzzer功能模块,对 Web API的安全性进行检测,如收集信息,分析安全头部信息,识别移动API 的具体漏洞,如XXE、SSRF、路径遍历,IDOR以及其他的与会话和API调用速率限制有关的逻辑问题。
1.安装
1.1 运行环境
•Oracle JDK 1.7或以上版本(JDK只要1.7以上版本即可)
• 硬件配置:4GB 或以上内存,5G硬盘空间。(用于运行虚拟机)
1.2 相关内容下载
下载最新版MobSF: https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/releases。下载后解压到C盘的MobSF文件夹。
下载MobSF VM 0.3 ova文件: 链接: https://pan.baidu.com/s/1hrNIpxE(提取密码: wsib)。OVA即开放虚拟化设备(Open Virtualization Appliance),这个ova文件用于在OracleVirtualBox中创建一个安卓虚拟机来进行APP的动态检测。
1.3 配置静态分析器
通过pip安装MobSF Python依赖包,在cmd中输入以下指令(win10已经支持cmd中ctrl-c和ctrl-v的操作):
C:\Python27\Scripts\pip.exeinstall -r requirements.txt
通常情况下由于不同机器安装的python的库和配置等都不尽相同,所以这一步出错的概率非常大,在安装过程中会提示缺少哪些组件,只要根据提示来下载安装所要求的组件即可(主要是lxml等)。
在这一步完成之后即可运行MobSF,在cmd中进入到C:\MobSF目录下,输入以下指令:
pythonmanage.py runserver port_number
端口号可以不填,默认为8000。如果出现图1所示的界面,说明安装已经成功,并且MobSF已经成功启动。
图1 启动MobSF
1.4 配置动态分析器
动态分析器目前只支持针对 Android APK文件进行分析,硬件环境要求为需要计算机拥有4GB 内存和支持完全虚拟化。
首先,配置动态分析器我们需要获取以下4个方面的信息, VMUUID、快照 UUID、主机/代理 IP和VM/设备 IP。
打开VirtualBox,点击管理——导入虚拟电脑,如图2所示,然后在文件中找到之前下载的.ova文件,导入到虚拟机中。
图2 导入虚拟电脑
导入成功后,右击这个虚拟机,选择设置这一项,如图3所示,选择网络选项卡,网卡1选择仅主机模式,并记住界面名称,网卡2选择NAT模式,然后即可保存设置启动虚拟机。
图3 配置虚拟机
图4 SuperSU配置