Paranoid - курс от Codeby Security School

Представляем вашему вниманию курс от команды codeby - "Комплекс мер по защите персональных данных, анонимности в интернете и не только" Подробнее ...


Перевод: Анна Давыдова
Источник: n0where.net

Фреймворк мобильной безопасности: MobSF

Фреймворк мобильной безопасности: MobSF

Фреймворк мобильной безопасности

Фреймворк мобильной безопасности — это интеллектуальное многофункциональное мобильное приложение с открытым исходным кодом (Android / iOS) и автоматизированным фреймворком для пентеста, которое может выполнять статический и динамический анализ. Мы полагались на огромное количество различных инструментов для проведения анализа построения программного изделия, декодирования, отладки, просмотра кода и пентестирования и весь этот процесс требует огромных усилий и множества времени. Фреймворк мобильной безопасности может использоваться для эффективного и быстрого анализа безопасности Android и iOS приложений. Он поддерживает двоичные файлы (APK & IPA) и сжатый исходный код.

Статический анализатор способен выполнять автоматический просмотр кода, обнаруживать небезопасные разрешения и конфигурации, а также находить ненадежные части кода, такие как, замена ssl, обход ssl, слабое шифрование, затемнение кода, ненадлежащие разрешения, жестко запрограммированные секреты, ненадлежащее использование опасных API, утечка конфиденциальной/PII информации и небезопасное хранение файлов. Динамический анализатор запускает приложение на виртуальной машине или на настроенном устройстве и обнаруживает проблемы во время его работы. Дальнейший анализ производится с захваченными сетевыми пакетами, расшифрованным HTTPS трафиком, дампами приложений, отчетами об ошибках или сбоях, отладочной информацией, трассами вызовов и с одним из активов приложения, таких как файлы настройки, права доступа и базы данных. Этот фреймворк легко расширяемый, так что вы без каких-либо проблем можете добавить свои пользовательские правила. Быстрый и чистый отчет может быть создан в конце проведения тестов. Ожидается, что в будущем этот фреймворк будет поддерживать другие мобильные платформы, такие как Tizen, WindowsPhone и т. д.


Codeby Security School от Сodeby

Мы запустили свою онлайн школу по информационной безопасности. Защита персональных данных, анонимность в сети интернет, настройка виртуальных машин, безопасная передача данных, анти форензика и еще много всего полезного в курсе Paranoid


Требования для фреймворка мобильной безопасности

Примечания:

  • На Linux и Mac, установите Oracle Java 1.7 или выше сделайте его стандартным (по умолчанию).

Инсталляция MobSF

Проверено на Windows 7, 8, 8.1, 10, Ubuntu, OSX Mavericks

  • Windows: Извлеките сжатый файл MobSF в C:\MobSF
  • Mac: Извлеките сжатый файл MobSF в /Users/[username]/MobSF
  • Linux: Извлеките сжатый файл MobSF в /home/[username]/MobSF

Настройка статистического анализатора

Установите MobSF Python зависимости, используя pip

Windows

Примечания: Если pip.exe недоступен в директории Scripts, скачайте и переустановите последнюю версию Python2.7.

Unix

Запуск MobSF

Если вам нужно ввести конкретный номер порта, то попробуйте

Если все пойдет как надо, на выходе вы получите следующее.

Настраиваем динамический анализатор

Динамический анализатор доступен только для двоичных файлов Android (APK) и работает только, если у вашего компьютера есть хотя бы 4GB RAM и полная поддержка виртуализации (Full Virtualization support).

Для настройки динамического анализатора нам понадобятся 4 вещи:

  • VM UUID
  • Snapshot UUID
  • Host/Proxy IP
  • VM/Device IP

Безопасная сделка с гарантом Сodeby

Гарант является доверенным посредником между Участниками при проведении сделки.​ Услуга сайта «Проведение сделок через Гаранта» предоставляется всем зарегистрированным пользователям codeby.net Подробнее ...


Похожие темы

HTTP Bruteforce: Bronson Bronson - это инструмент поиска путей для проведения брутфорс атаки по протоколу HTTP. Он динамично использует словари для обнаружения объектов на цел...
Sandmap — это тот инструмент,который отвечае... Будем знакомиться сегодня с интересным инструментом. Создателем его является trimstray. sandmap - это тот инструмент,который отвечает на вопросы к...
Пентест с помощью TheFatRat В этой статье я покажу, как можно получить активную сессию meterpreter на целевом хосте под управлением Windows 8.1. В качестве атакующей системы бу...
Infoga — сбор информации о почте и доменах... Инструмент, который может помочь в проведении тестирования на проникновения какой либо компании. Целью инструменты будет собрать информацию о почт...
Parrot Security OS (или ParrotSec) Parrot Security OS (или ParrotSec) - является дистрибутивом GNU / Linux, на основе Debian. Он был спроектирован для того, чтобы выполнять тесты ...