自动化移动安全渗透测试框架:Mobile Security Framework
Mobile Security Framework (移动安全框架) 是一款智能、一体化的开源移动应用(Android/iOS)自动渗透测试框架,它能进行静态、动态的分析。
现在大家使用的是多种不同工具进行反编译、解码、调试、代码审查、渗透测试,这会花费大量的时间和精力。Mobile Security Framework可以被用来对Android 和iOS的应用进行高效快速的安全分析。此框架支持二进制文件(APK & IPA)和源码压缩包。
功能介绍
静态分析器可以执行自动化的代码审计、检测不安全的权限请求和设置,还可以检测不安全的代码,诸如ssl绕过、弱加密、混淆代码、硬编码的密码、危险API的不当使用、敏感信息/个人验证信息泄露、不安全的文件存储等。
动态分析器可以在虚拟机或者经过配置的设备上运行程序,在运行过程中检测问题。动态分析器可以从抓取到的网络数据包、解密的HTTPS流量、程序dump、程序日志、程序错误和崩溃报告、调试信息、堆栈轨迹和程序的设置文件、数据库等方面进行进一步的分析。
本框架的另一个特点是其可扩展性,你可以轻松制定自定义规则。测试结束后程序会生成一份清晰的报告。我们会进一步拓展次框架以支持Tizen、WindowsPhone等平台。
截图展示
静态分析 – Android APK
静态分析 – iOS IPA
样本报告: http://opensecurity.in/research/security-analysis-of-android-browsers.html
GitHub主页
https://github.com/ajinabraham/Mobile-Security-Framework-MobSF
使用文档
https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/wiki/Documentation
Bug提交
https://github.com/ajinabraham/YSO-Mobile-Security-Framework/issues
新功能或更新可以关注@ajinabraham 或者@OpenSecurity_IN
本文转载来自:Freebuf黑客与极客(FreeBuf.COM)