自動化移動安全滲透測試框架:Mobile Security Framework
Mobile Security Framework (移動安全框架) 是一款智能、一體化的開源移動應用(Android/iOS)自動滲透測試框架,它能進行靜態、動態的分析。
現在大家使用的是多種不同工具進行反編譯、解碼、調試、代碼審查、滲透測試,這會花費大量的時間和精力。Mobile Security Framework可以被用來對Android 和iOS的應用進行高效快速的安全分析。此框架支持二進制文件(APK & IPA)和源碼壓縮包。
功能介紹
靜態分析器可以執行自動化的代碼審計、檢測不安全的權限請求和設置,還可以檢測不安全的代碼,諸如ssl繞過、弱加密、混淆代碼、硬編碼的密碼、危險API的不當使用、敏感信息/個人驗證信息泄露、不安全的文件存儲等。
動態分析器可以在虛擬機或者經過配置的設備上運行程序,在運行過程中檢測問題。動態分析器可以從抓取到的網絡數據包、解密的HTTPS流量、程序dump、程序日志、程序錯誤和崩潰報告、調試信息、堆棧軌跡和程序的設置文件、數據庫等方面進行進一步的分析。
本框架的另一個特點是其可擴展性,你可以輕松制定自定義規則。測試結束后程序會生成一份清晰的報告。我們會進一步拓展次框架以支持Tizen、WindowsPhone等平台。
截圖展示
靜態分析 – Android APK
靜態分析 – iOS IPA
樣本報告: http://opensecurity.in/research/security-analysis-of-android-browsers.html
GitHub主頁
https://github.com/ajinabraham/Mobile-Security-Framework-MobSF
使用文檔
https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/wiki/Documentation
Bug提交
https://github.com/ajinabraham/YSO-Mobile-Security-Framework/issues
新功能或更新可以關注@ajinabraham 或者@OpenSecurity_IN
本文轉載來自:Freebuf黑客與極客(FreeBuf.COM)