自动化移动安全渗透测试框架:Mobile Security Framework

怪狗 2016-7-29 HACK 0 0

         自动化移动安全渗透测试框架:Mobile Security Framework

  现在大家使用的是多种不同工具进行反编译、解码、调试、代码审查、渗透测试,这会花费大量的时间和精力。Mobile Security Framework可以被用来对Android 和iOS的应用进行高效快速的安全分析。此框架支持二进制文件(APK & IPA)和源码压缩包。

  功能介绍

  静态分析器可以执行自动化的代码审计、检测不安全的权限请求和设置,还可以检测不安全的代码,诸如ssl绕过、弱加密、混淆代码、硬编码的密码、危险API的不当使用、敏感信息/个人验证信息泄露、不安全的文件存储等。

  动态分析器可以在虚拟机或者经过配置的设备上运行程序,在运行过程中检测问题。动态分析器可以从抓取到的网络数据包、解密的HTTPS流量、程序dump、程序日志、程序错误和崩溃报告、调试信息、堆栈轨迹和程序的设置文件、数据库等方面进行进一步的分析。

  本框架的另一个特点是其可扩展性,你可以轻松制定自定义规则。测试结束后程序会生成一份清晰的报告。我们会进一步拓展次框架以支持Tizen、WindowsPhone等平台。

  截图展示

  静态分析 – Android APK

     自动化移动安全渗透测试框架:Mobile Security Framework

     自动化移动安全渗透测试框架:Mobile Security Framework

  静态分析 – iOS IPA

           自动化移动安全渗透测试框架:Mobile Security Framework

  样本报告: http://opensecurity.in/research/security-analysis-of-android-browsers.html

  GitHub主页

  https://github.com/ajinabraham/Mobile-Security-Framework-MobSF

  使用文档

  https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/wiki/Documentation

  Bug提交

  https://github.com/ajinabraham/YSO-Mobile-Security-Framework/issues

  新功能或更新可以关注@ajinabraham 或者@OpenSecurity_IN

原文地址:http://www.77169.com/hack/201509/211049.shtm

转载请注明来自华盟网,本文标题:《自动化移动安全渗透测试框架:Mobile Security Framework》

喜欢 (0) 发布评论