自动化移动安全渗透测试框架：Mobile Security Framework

译/Sphinx  测试开发社区  7月3日

Mobile Security Framework (移动安全框架) 是一款智能、一体化的开源移动应用(Android/iOS)自动渗透测试框架，它能进行静态、动态的分析。

现在大家使用的是多种不同工具进行反编译、解码、调试、代码审查、渗透测试，这会花费大量的时间和精力。Mobile Security Framework可以被用来对Android 和iOS的应用进行高效快速的安全分析。此框架支持二进制文件(APK & IPA)和源码压缩包。

功能介绍

静态分析器可以执行自动化的代码审计、检测不安全的权限请求和设置，还可以检测不安全的代码，诸如ssl绕过、弱加密、混淆代码、硬编码的密码、危险API的不当使用、敏感信息/个人验证信息泄露、不安全的文件存储等。

动态分析器可以在虚拟机或者经过配置的设备上运行程序，在运行过程中检测问题。动态分析器可以从抓取到的网络数据包、解密的HTTPS流量、程序dump、程序日志、程序错误和崩溃报告、调试信息、堆栈轨迹和程序的设置文件、数据库等方面进行进一步的分析。

本框架的另一个特点是其可扩展性，你可以轻松制定自定义规则。测试结束后程序会生成一份清晰的报告。我们会进一步拓展次框架以支持Tizen、WindowsPhone等平台。

截图展示

静态分析 – Android APK

静态分析 – iOS IPA

样本报告: http://opensecurity.in/research/security-analysis-of-android-browsers.html

GitHub主页

https://github.com/ajinabraham/Mobile-Security-Framework-MobSF

使用文档

https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/wiki/Documentation

Bug提交

https://github.com/ajinabraham/YSO-Mobile-Security-Framework/issues

新功能或更新可以关注@ajinabraham 或者@OpenSecurity_IN

本文转载来自：Freebuf黑客与极客（FreeBuf.COM）