<< Контент скрыт от гостей. Зарегистрируйтесь, чтобы снять ограничение ! >>

Фреймворк мобильной безопасности: MobSF

Фреймворк мобильной безопасности: MobSF

Фреймворк мобильной безопасности

Фреймворк мобильной безопасности — это интеллектуальное многофункциональное мобильное приложение с открытым исходным кодом (Android / iOS) и автоматизированным фреймворком для пентеста, которое может выполнять статический и динамический анализ. Мы полагались на огромное количество различных инструментов для проведения анализа построения программного изделия, декодирования, отладки, просмотра кода и пентестирования и весь этот процесс требует огромных усилий и множества времени. Фреймворк мобильной безопасности может использоваться для эффективного и быстрого анализа безопасности Android и iOS приложений. Он поддерживает двоичные файлы (APK & IPA) и сжатый исходный код.

Статический анализатор способен выполнять автоматический просмотр кода, обнаруживать небезопасные разрешения и конфигурации, а также находить ненадежные части кода, такие как, замена ssl, обход ssl, слабое шифрование, затемнение кода, ненадлежащие разрешения, жестко запрограммированные секреты, ненадлежащее использование опасных API, утечка конфиденциальной/PII информации и небезопасное хранение файлов. Динамический анализатор запускает приложение на виртуальной машине или на настроенном устройстве и обнаруживает проблемы во время его работы. Дальнейший анализ производится с захваченными сетевыми пакетами, расшифрованным HTTPS трафиком, дампами приложений, отчетами об ошибках или сбоях, отладочной информацией, трассами вызовов и с одним из активов приложения, таких как файлы настройки, права доступа и базы данных. Этот фреймворк легко расширяемый, так что вы без каких-либо проблем можете добавить свои пользовательские правила. Быстрый и чистый отчет может быть создан в конце проведения тестов. Ожидается, что в будущем этот фреймворк будет поддерживать другие мобильные платформы, такие как Tizen, WindowsPhone и т. д.



Требования для фреймворка мобильной безопасности

Примечания:

  • На Linux и Mac, установите Oracle Java 1.7 или выше сделайте его стандартным (по умолчанию).

Инсталляция MobSF

Проверено на Windows 7, 8, 8.1, 10, Ubuntu, OSX Mavericks

  • Windows: Извлеките сжатый файл MobSF в C:\MobSF
  • Mac: Извлеките сжатый файл MobSF в /Users/[username]/MobSF
  • Linux: Извлеките сжатый файл MobSF в /home/[username]/MobSF

Настройка статистического анализатора

Установите MobSF Python зависимости, используя pip

Windows

Примечания: Если pip.exe недоступен в директории Scripts, скачайте и переустановите последнюю версию Python2.7.

Unix

Запуск MobSF

Если вам нужно ввести конкретный номер порта, то попробуйте

Если все пойдет как надо, на выходе вы получите следующее.

Настраиваем динамический анализатор

Динамический анализатор доступен только для двоичных файлов Android (APK) и работает только, если у вашего компьютера есть хотя бы 4GB RAM и полная поддержка виртуализации (Full Virtualization support).

Для настройки динамического анализатора нам понадобятся 4 вещи:

  • VM UUID
  • Snapshot UUID
  • Host/Proxy IP
  • VM/Device IP

Спонсор публикаций Cyber-512

Готовим специалиста в области ИБ  - Воспитаем специалиста в области ИБ с нуля до начального уровня. После обучения сможете оказывать услуги по проведению тестирования на проникновение ( легальный хакинг )

Похожие темы

Протокол SMB (Server Message Block) Принцип работы SMB. Протокол SMB (Server Message Block) работает на прикладном и представительском уровне модели OSI. И используется для удал...
Parrot Security OS (или ParrotSec) Parrot Security OS (или ParrotSec) - является дистрибутивом GNU / Linux, на основе Debian. Он был спроектирован для того, чтобы выполнять тесты ...
Аудит системы перед тестированием на проникновение... В этой небольшой статье, я хочу обратить Ваше внимание на аудит системы перед тестированием ее на проникновение. Таких методов масса, но попавши...
Топ 5 программ для хакера Топ программ для хакера 2014-2015 года Burp Suite - имеет ряд особенностей, которые могут помочь пентестеру и хакеру. Два совместимых приложения, исп...
Читаем вместе: Тестирование на веб проникновение с... Книга авторов Joseph Muniz и Aamir Lakhani «Web Penetration Testing with Kali Linux» выпущена в 2013 году. Книга рассчитана на самых нач...