推荐一款Python开源移动应用安全测试分析工具!!!

于 2024-09-12 11:16:12 发布
阅读量8 收藏
点赞数
文章标签: python 开发语言

今天给大家推荐一个安全测试相关的开源项目:nccgroup/house

1、介绍

它是一个由 NCC Group 开发的,一个基于Frida和Python编写的动态运行时移动应用分析工具包,提供了基于 Frida 的 Web GUI 界面,旨在简化动态函数挂钩的过程,让研究人员能够更轻松地评估 Android 应用的安全性。由于集成了Frida,提供了代码注入功能,允许实时修改运行中的应用行为。

项目地址:

https://github.com/nccgroup/house

2、主要特点

  • 直观易用:通过Web界面,用户无需深入了解Frida语法即可启动复杂的动态分析。
  • 灵活性:支持对动态加载的Dex/Jar文件进行挂钩,适应性强。
  • 扩展性:提供了一系列内建脚本和模板,用户可以根据需要定制自己的分析任务。
  • 调试友好:内置的REPL(Read-Evaluate-Print Loop)环境,便于用户探索和调试函数行为。

3、应用场景

  • 移动应用渗透测试:检测潜在漏洞,如隐私泄露、不安全的网络通信等。
  • 应用程序行为分析:监控文件操作、数据共享和其他敏感活动。
  • 教育与研究:帮助学生和研究人员更好地理解移动应用的工作原理。

4、项目安装

克隆House仓库:首先,你需要从GitHub上克隆House项目到你的本地机器,并安装相关依赖。

git clone https://github.com/nccgroup/house
cd house
pip3 install -r requirements.txt
pip3 install pipenv
pipenv --python=/usr/bin/python3 install
pipenv --python=/usr/bin/python3 shell
python3 app.py <PORT>

# or:
mkvirtualenv --python=/usr/local/bin/python3 house
workon house
pip install -r requirements.txt
python app.py <PORT>

# or: (only for Mac OS)
git clone https://github.com/nccgroup/house
cd house
pip3 install -r requirements.txt
pip3 install pipenv
pipenv --python=/usr/local/bin/python3 install
pipenv --python=/usr/local/bin/python3 shell
python3 app.py <PORT>

5、使用方法

1、启动 House:启动 House 的后端服务,可以通过命令行执行 python main.py 来启动 House。启动后,可以通过浏览器访问指定的地址和端口来使用 Web GUI 界面,通常是http://localhost:8000。

2、选择目标应用程序:在 Web GUI 界面上选择需要分析的目标应用程序,可以上传应用程序的安装包或者指定应用程序的包名。(也可以用项目自带的test_apk来尝鲜)

3、选择分析模块:根据分析需求选择需要的分析模块,可以选择内置的模块或者自定义的模块。

4、执行分析任务:点击开始分析按钮,House 将会启动 Frida 进行动态分析,并在 Web GUI 上实时显示分析结果。

5、查看分析结果:在分析完成后,可以在 Web GUI 上查看分析结果,包括应用程序的运行时行为、API 调用情况等。

6、小结

综上所述,nccgroup/house是一个功能强大且灵活的移动应用动态分析工具,适用于各种场景,包括渗透测试、行为分析和学术研究。通过 Frida 和 Python 的结合,它提供了一个高效且用户友好的分析平台。安装和配置简便,且具有丰富的特性和扩展性,使得研究人员和开发人员能够有效地探索和评估移动应用的安全性。

原创作者: jinjiangongzuoshi 转载于: https://www.cnblogs.com/jinjiangongzuoshi/p/18360263
yinming9999999
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全测试13款免费的测试工具
Free355的博客
06-07 1541
首先,我想强调一点:安全测试是确保系统安全的重要流程之一,它可以帮助您保护企业的数据和个人信息不受未授权访问、欺诈或其他类型的攻击。
python开源自动化测试平台_8款开源自动化测试框架
weixin_30431043的博客
01-14 2651
一、性能自动化测试1、项目名称:基于Jmeter实现的在线压测平台和在线管理Jmeter脚本系统项目简介:本项目基于renren-fast Java开发平台开发,内核基于Jmeter-Api和Jmeter脚本实现在线性能压测。具有如下特点友好的代码结构及注释,便于阅读及二次开发实现前后端分离,通过token进行数据交互,前端再也不用关注后端技术灵活的权限控制,可控制到页面或按钮,满足绝大部分的权限...
最新适合 Python 入门的 8 款强大工具!_自学python需要的软件
2401_84562041的博客
05-03 1190
在本文中,我们讨论了各种最常用的Python工具。我们讨论了这些工具的使用以及如何利用这些工具来提升自我。希望对您有所帮助。
python开源自动化测试平台_LuckyFrameClient
weixin_42514752的博客
01-14 1273
软件简介LuckyFrame测试平台是一款免费开源的自动化测试平台,最大的特点是全纬度覆盖了接口自动化、WEBUI自动化、APP自动化,并且支持分布式测试,测试关键字驱动也很大程度上解决了测试同学代码基础弱的问题。同时我们知道测试永远都只是质量保障的其中一个手段,所以也集成了质量管理相关的一些功能。作者(Seagull1985 51testing论坛自动化版主)工作之余本着做一些有意义的事情,免费...
【涨知识】你不知道的Python常用开发工具!原来这么多!
程序员小麦的博客
08-04 1482
Python作为近几年热门的开发语言之一,很多初学者不知道Python常用的开发工作有哪些,下面给大家简单介绍一下,大家可以根据自己喜欢的工具进行项目的快速开发
适合 Python 入门的 8 款强大工具
AI科技大本营
07-25 3186
作者 | codeavail.com译者 |弯月,责编 | 屠敏头图 | CSDN 下载自东方 IC出品 | CSDN(ID:CSDNnews)Python是一种开源的编程语言,可用于...
推荐10款最佳的App安全测试工具
MXB_1220的博客
07-08 3056
目录前言1、Quick Android Review Kit (QARK)2、Zed Attack Proxy3、Drozer (MWR InfoSecurity)4、MobSF(Mobile Security Framework)5、ADB (Android Debug Bridge)6、Micro Focus (Fortify)7、CodifiedSecurity8、WhiteHat Security9、Kiuwan10、Veracode当今,全球移动用户大约超过37亿。Google Play 上大约有
Python自动化测试工具有哪些?哪一个更适合你呢?
weixin_67553250的博客
11-14 2392
Python自动化测试工具有哪些? ,我们先说说框架吧,常用的Python自动化测试框架有Robot Framework、Pytest、UnitTest/PyUnit、Behave、Lettuce。软件测试的自动化在预设条件下运行系统或应用程序,评估运行结果,预先条件应包括正常条件和异常条件。自动化测试以人为驱动的测试行为转化为机器执行的一种过程。 实现软件测试自动化得用到一些Python自动化测试框架和工具,让我们看看都有哪些?
一系列自动化测试的开源工具推荐!!!
伤心的辣条
08-21 2514
本项目基于renren-fast Java开发平台开发,内核基于Jmeter-Api和Jmeter脚本实现在线性能压测。具有如下特点:友好的代码结构及注释,便于阅读及二次开发实现前后端分离,通过token进行数据交互,前端再也不用关注后端技术灵活的权限控制,可控制到页面或按钮,满足绝大部分的权限需求页面交互使用Vue2.x,极大的提高了开发效率完善的代码生成机制,可在线生成entity、xml、dao、service、html、js、sql代码,减少70%以上的开发任务。
软件测试工具:11类41款主流测试工具盘点
百晓生说测试的博客
05-31 6191
我们已经介绍了软件测试中常用的各类测试工具,包括功能测试工具、性能测试工具安全测试工具和自动化测试工具。我们了解到,不同的测试工具各有其优点和特点,需要根据具体的测试需求、预算和团队技术能力来选择合适的工具。正确的测试工具可以极大地提高软件测试的效率和效果,因此,选择和使用正确的测试工具对于软件测试来说至关重要。
Appium是一款开源的跨平台移动应用测试自动化工具
08-07
总之,Appium 是一个强大且灵活的移动应用测试工具,它的开源属性和跨平台特性使其在IT行业中广受欢迎。通过JavaScript等编程语言开发者可以方便地编写测试脚本,提高测试效率,保证应用的质量。无论是对于个人...
Python-bandicoot一个用来分析手机元数据的开源python工具
08-10
**Python-bandicoot:手机元数据分析开源Python工具箱** Bandicoot是一个强大的Python库,专门用于分析手机通信元数据。它为研究人员、政策制定者和社会科学家提供了一个直观的框架,以理解个体的行为模式、社交...
推荐!!!5款开源移动自动化测试工具
kami_ochin_akane的博客
12-29 706
Time will tell(时间会说明一切) 如今,移动应用在企业的地位越来越重要,消费者对移动设备的要求也越来越高。为适应这一需求,测试团队必须在移动设备推出市场之前,对其性能进行一系列的评估和测试。然而这是一个耗时又耗资的工作,尤其移动设备的自动化测试还非常复杂。 在现已出现的开源移动自动化测试工具中,我总结了5款最实用的,希望对你有帮助: 1、Appium Appium是一款用于自动化本机、移动Web和混合应用程序的开源工具。可在iOS和Android上使用。 2、Calabash Calaba.
【FFMPEG】Install FFmpeg CUDA gltransition in Ubuntu
RockWang的博客
09-05 462
FFMPEG gltranlations CUDA
pip-tools:打造可重复、可控的 Python 开发环境,解决依赖关系,让代码更稳定
weixin_53707653的博客
09-09 764
是一个强大且易用的工具,可以帮助开发者轻松管理 Python 项目的依赖关系,确保代码的可重复性和稳定性。是一组命令行工具,旨在简化 Python 依赖关系的管理,确保项目环境的稳定性和可重复性。可以确保每次构建环境时都使用相同的依赖项版本,从而避免由于依赖项版本不一致导致的错误,提高代码可重复性和稳定性。自动化了依赖关系管理过程,节省了开发者的时间和精力,可以将更多时间投入到实际的开发工作中。文件中的信息,更新虚拟环境,安装、升级或卸载所需的软件包,确保虚拟环境与。命令可以从你的项目配置文件中生成。
[Python]生成器和yield关键字
weixin_57336987的博客
09-07 389
概述:​ 它指的是 generator, 类似于以前学过的: 列表推导式, 集合推导式, 字典推导式…作用:​ 降低资源消耗, 快速(批量)生成数据.实现方式:​ 1.推导式写法.​ 2.yield写法.yield i # yield会记录每个生成的数据, 然后逐个的放到生成器对象中, 最终返回生成器对象.问题: 如何从生成器对象中获取数据?​ 答案:​ 1.for循环遍历​ 2.next()函数, 逐个获取.
篮球和运动员检测系统源码分享
最新发布
weixin_qunmasj的博客
09-11 862
数据集信息展示在本研究中,我们采用了名为“Basketball detection”的数据集,以改进YOLOv8在篮球场景中的运动员和篮球检测能力。该数据集专门设计用于满足篮球运动相关的视觉识别需求,包含了丰富的图像数据,能够有效支持深度学习模型的训练与优化。数据集的类别数量为三,具体类别包括“ball”(篮球)、“basket”(篮球架)和“person”(运动员),这些类别的选择旨在涵盖篮球比赛中最为关键的元素,以便模型能够准确识别和定位这些对象。
基于人工智能的音乐情感分类系统
stm32d1219的博客
09-06 1019
音乐作为一种强烈的情感表达方式,不同的音调、节奏和和声传递着不同的情感信息。通过人工智能技术,能够自动识别音乐中的情感,为用户提供个性化的音乐推荐或情感分析服务。通过使用MFCC特征提取与神经网络分类算法,音乐情感分类系统可以有效地分析音乐中的情感信息,并根据不同情感对音乐进行分类。随着深度学习技术的进一步发展,音乐情感分类系统的准确性和应用范围将得到进一步提升。音乐情感分类是通过对音乐音频信号进行分析,识别出音乐传递的情感,如“愉快”、“悲伤”、“愤怒”等。问题讨论,人工智能的资料领取可以私信!
程序的格式框架与缩进
qq_57335683的博客
09-08 348
在上一课时中,我们介绍了 Python 的基本概念,并成功运行了第一个 Python 程序。本课时将深入探讨 Python 程序的基本结构、缩进的重要性,以及如何正确使用注释。通过本课时的学习,你将更好地理解 Python 代码的组织方式,并能够避免一些常见的编程错误。通过本课时的学习,你了解了 Python 程序的基本结构,认识到缩进在 Python 中的重要性,并学会了如何避免常见的缩进错误。缩进不仅是 Python 代码风格的一部分,而且是语法的一部分。这意味着如果缩进不正确,程序将无法正常运行。
frida安装和配置
08-14
Frida是一个动态二进制插桩工具,它允许开发者在运行时对程序进行调试和分析。以下是Frida的基本安装和配置步骤: 1. **安装**: - 对于Windows用户,可以从Frida官网下载预编译的Python库和命令行工具。访问 https://frida.re/download ,选择适合的版本(比如适用于Windows的`frida-tools-x64.zip`)。 - 解压缩并将`frida.exe`添加到系统路径中,如`C:\Program Files (x86)\Frida\frida.exe`。 2. **环境配置**: - 确保安装了Python(Frida需要Python支持)。打开命令行,输入`python --version`检查Python版本。 - 可能需要安装`pip`,如果是首次安装,可以运行 `python get-pip.py` 或者直接访问 https://bootstrap.pypa.io/get-pip.py 下载并运行。 3. **加载模块**: - 使用命令`frida -U`启动无权限模式,如果需要管理员权限,则使用`frida -l`。这里的 `-U` 表示附加到所有进程,`-l`表示附加到指定的进程ID。 - 要创建脚本,可以在命令行下输入`frida -l script.js`,其中`script.js`是包含Frida代码的JavaScript文件。 4. **编写脚本**: - 在`script.js`中,你可以使用Frida提供的API来查找目标函数、修改内存、拦截网络请求等操作。例如,你需要学习如何使用`Interceptor.attach`和`interceptFunction`来钩住目标函数。 5. **执行脚本**: - 运行`frida -U -l script.js your-process-name-or-id`,这里`your-process-name-or-id`是你要分析或调试的应用程序名称或PID。 6. **调试控制**: - 在脚本中添加断点、查看变量值、执行下一步等功能,可以借助Chrome DevTools或者其他支持WebAssembly的调试工具
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值