自動化移動安全滲透測試框架：Mobile Security Framework

Mobile Security Framework (移動安全框架) 是一款智慧、一體化的開源移動應用(Android/iOS)自動滲透測試框架，它能進行靜態、動態的分析。

現在大家使用的是多種不同工具進行反編譯、解碼、調試、程式碼審查、滲透測試，這會花費大量的時間和精力。Mobile Security Framework可以被用來對Android 和iOS的應用進行高效快速的安全分析。此框架支援二進位文件(APK & IPA)和源碼壓縮包。

功能介紹

靜態分析器可以執行自動化的程式碼審計、檢測不安全的許可權請求和設置，還可以檢測不安全的程式碼，諸如ssl繞過、弱加密、混淆程式碼、硬編碼的密碼、危險API的不當使用、敏感資訊/個人驗證資訊泄露、不安全的文件存儲等。

動態分析器可以在虛擬機或者經過配置的設備上運行程式，在運行過程中檢測問題。動態分析器可以從抓取到的網路數據包、解密的HTTPS流量、程式dump、程式日誌、程式錯誤和崩潰報告、調試資訊、堆棧軌跡和程式的設置文件、資料庫等方面進行進一步的分析。

本框架的另一個特點是其可擴展性，你可以輕鬆制定自定義規則。測試結束後程式會生成一份清晰的報告。我們會進一步拓展次框架以支援Tizen、WindowsPhone等平台。

截圖展示

靜態分析 – Android APK

靜態分析 – iOS IPA

樣本報告: http://opensecurity.in/research/security-analysis-of-android-browsers.html

GitHub主頁

https://github.com/ajinabraham/Mobile-Security-Framework-MobSF

使用文檔

https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/wiki/Documentation

Bug提交

https://github.com/ajinabraham/YSO-Mobile-Security-Framework/issues

新功能或更新可以關注@ajinabraham 或者@OpenSecurity_IN

本文轉載來自：Freebuf黑客與極客（FreeBuf.COM）