开源技术推荐：安全测试框架MobSF

alston

开源技术推荐：安全测试框架MobSF

MobSF是什么？

Mobile SecurityFramework (移动安全框架) 是一款智能、一体化的开源移动应用(Android/iOS)自动渗透测试框架，它能进行静态、动态的分析。同时，MobSF也能够做Web API的安全测试。

Github地址：https://github.com/ajinabraham/Mobile-Security-Framework-MobSF

环境搭建文档地址：https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/wiki/1.-Documentation

静态分析

静态分析器可以执行自动化的代码审计、检测不安全的权限请求和设置，还可以检测不安全的代码，诸如ssl绕过、弱加密、混淆代码、硬编码的密码、危险API的不当使用、敏感信息/个人验证信息泄露、不安全的文件存储等。

静态分析 -Android APK

静态分析 -iOS IPA

动态分析

动态分析器可以在虚拟机或者经过配置的设备上运行程序，在运行过程中检测问题。动态分析器可以从抓取到的网络数据包、解密的HTTPS流量、程序dump、程序日志、程序错误和崩溃报告、调试信息、堆栈轨迹和程序的设置文件、数据库等方面进行进一步的分析。

动态分析 -Android APK

WebAPI Fuzzer

结语

MobSF支持二进制文件(APK & IPA)和源码压缩包。该框架的另一个特点是其可扩展性，你可以轻松制定自定义规则。测试结束后程序会生成一份清晰的报告。作者计划进一步拓展此框架以支持Tizen、WindowsPhone等平台。

本文章系testbird 原创 – testbird 手游和app自动化测试平台 (www.testbird.com)