[移动安全]从某甲方app安全内测的过程到分析

what is sercuriy Group ,i don‘t know .  e share

废话不多说,准备工作,顺手写个安装过程:移动安全框架 (MobSF) 是一个智能化、一体化的开源移动应用(Android / iOS)自动测试框架,能够对以上两种移动应用进行静态和动态分析(动态分析目前暂时只支持Android)。

它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时,MobSF 也能够通过其API Fuzzer功能模块,对 Web API 的安全性进行检测,如收集信息,分析安全头部信息,识别移动API 的具体漏洞,如XXE、SSRF、路径遍历,IDOR以及其他的与会话和API调用速率限制有关的逻辑问题。

运行环境

? Python 2.7,下载请点击:Python 2.7

? Oracle JDK 1.7或以上版本,下载请点击:Oracle JDK;

? Oracle VirtualBox 下载请点击: VirtualBox;

? iOS IPA分析(需在 Mac系统上执行)所需命令行工具( Mac系统)下载请点击:Conmand-line tool;

? 硬件配置:4GB 或以上内存,5G硬盘空间。

下载

MobSF v0.9.4.2 MobSF

MobSF VM 0.2 ova MobSF.VM 。

dowm zip and open your Vbox to set your proxy

Modify your uuid and suuid

*****************\Mobile-Security-Framework-MobSF-master\MobSF\settings.py

静态分析

Android APK

动态分析

Android APK

动态分析类似与Burp那样截包分析,它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时,MobSF 也能够通过其API Fuzzer功能模块,对 Web API 的安全性进行检测,如收集信息,分析安全头部信息,识别移动API 的具体漏洞,如XXE、SSRF、路径遍历,IDOR以及其他的与会话和API调用速率限制有关的逻辑问题。

unable to connect to ??what the f4ck。可能是前面端口设置的一些其他问题,这里检查下先

时间: 2024-10-24 09:49:56

[移动安全]从某甲方app安全内测的过程到分析的相关文章

【JavaScript】Hybrid App开发 四大主流移平台分析

转自http://dev.yesky.com/238/34657738.shtml Hybrid App在过去的两年中已经成为移动界的核心话题,但是作为一名Web开发者来说要如何站在移动互联网的浪潮之巅呢?是选择学习原生开发,研究Java.Object-C.C#等语言,还是选择继续使用网页开发,容忍HTML5功能的局限性?就在开发者左右为难的情况下Hybrid App作为一个折中的解决方案诞生了.那么究竟什么才是Hybrid App呢? Hybrid App概念 Hybrid App:Hybri

速云达ERP手机App开始内测,完全兼容速达5000以上的任何版本

一.简介 随着互联网.移动互联网的快速发展,传统的电脑端ERP已经无法满足现代企业的需要,基云计算.大数据.AI.IoT等新技术研发了新型的速云达ERP平台,大大提高了企业的办公效率,节约大量成本,它除了兼容速达软件5系列以上所有版本(包含:5000PRO.V5.NET.V5.Cloud.S5.Cloud.V7.NET.V7.Cloud.S7.Cloud等,只要是5以上版本都可以支持),还有以下特性: 1. 数据实时与速达软件保持同步,简单说就是用不同的软件但是使用同一的数据仓库,数据能实时共享

短视频APP+不同类型社交应用发展分析+化妆品电商

短视频APP——昙花一现还是发展趋势? 在这个互联网与科技并行且飞速发展的时代,各种app不断涌入市场,其中短视频app便是一个典型,美拍,就成功入围2014年十大最火app.而短视频app也势必要成为发展趋势而绝非昙花一现,接下来就让我们一起分析一下它之所以能够引领时代潮流的种种原因. (一)时代背景 1.当前网络上的传播媒体十分多样,诸如微信,微博,QQ等都能够随时随地让人们分享自己的幸福,展示自己的风采,这样一来,便为短视频app提供了更广阔的交流发布空间. 2.短视频app的种类多种多样

手机App开发接下来的道路分析

 随着移动互联网的发展,目前手机App市场的愈加扩大化,使得App制作开发市场竞争更加激烈的同时,也促使着App行业的不断前进与发展.那么,未来App软件的发展道路是怎样呢?随广州App开发品向科技小编一起来看看吧在良好的市场背景下,应用市场呈现饱和的状态,使得App制作市场竞争越来越激烈.在未来的开发中,App将会逐渐细分市场,使得App更加垂直化.那未来的App开发制作以及发展方向究竟是如何呢? 1.全方位跨平台 未来的手机App要想发展壮大,就要尽可能多的出现在受众面前.要想达到这样的一个

IOS App开发和发布过程中用到的证书

Certification(证书) 证书是对电脑开发资格的认证,每个开发者帐号有一套,分为两种: 1.Developer Certification(开发证书) 安装在电脑上提供权限:开发人员通过设备进行真机测试. 可以生成副本供多台电脑安装: 2.Distribution Certification(发布证书) 安装在电脑上提供发布iOS程序的权限:开发人员可以制做测试版和发布版的程序. 不可生成副本,仅有配置该证书的电脑才可使用:(副本制做介绍在下面Keychain中介绍) Provisio

比葫芦娃还可怕的百度全系APP SDK漏洞 - WormHole虫洞漏洞分析报告 (转载)

瘦蛟舞 · 2015/11/02 10:50 作者:瘦蛟舞,蒸米 ”You can’t have a back door in the software because you can’t have a back door that’s only for the good guys.“ - Apple CEO Tim Cook ”你不应该给软件装后门因为你不能保证这个后门只有好人能够使用.” – 苹果CEO 库克 0x00 序 最早接触网络安全的人一定还记得当年RPC冲击波,WebDav等远程攻

Android APP通用型拒绝服务、漏洞分析报告

点评:记得曾经有段时间很多SRC平台被刷了大量APP本地拒绝服务漏洞(目前腾讯金刚审计系统已经可检测此类漏洞),移动安全团队发现了一个安卓客户端的通用型拒绝服务漏洞,来看看他们的详细分析吧. 0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类型时,发现了一处通用的本地拒绝服务漏洞.该通用型本地拒绝服务可以造成大面积的app拒绝服务. 针对序列化对象而出现的拒绝服务主要是由于应用中使用了getSerializableExtra() 的API,由于应用开发者没有对传入的数据做异常判断,

关于被微信App支付坑的过程

最近因为项目要接入微信App支付(没做过,不了解),然后就开网上一番狂搜+看官方文档,那是一个乱七八糟. 微信在2014年9月10号更新出了v3的版本,结果我竟然拿着v2版本在那里调试=>被坑. 回归到正题:希望接下来的朋友少走一些弯路. 微信总共有三个平台: 公众号平台:https://mp.weixin.qq.com/ 商户平台:https://pay.weixin.qq.com 开放平台:https://open.weixin.qq.com/ 这里所提到的微信App支付则是用到开放平台.

201509281125_《为什么移动app会很慢的深度分析(摘自司徒正美博客园文章)》

我写过不少文章来讨论为什么移动Web应用程序很慢,这也引起了不少的讨论.但是不幸的是,这些讨论没有像我喜欢的那样的基于事实. 所以我这篇文章的目地就是给这些问题带来一些真正的证据,而不是仅仅过来对骂.在这篇文章的中,你可以看到基准测试(benchmark),可以看到专家的观点,你甚至可以看到非常诚实(honest-to-God)的期刊文章.这篇文章有超过100个引用(不是开玩笑).我不保证这篇文章能使你信服,甚至不保证这篇文章中的所有内容都是正确的(在这样大规模的文章中做到这一点几乎是不可能的)