前言
最近公司的App需要做漏洞扫描,出一份检测报告,这回头大了。一直以来,Android都是用第三方平台(腾讯金刚)之类的做漏扫,奈何就没有支持iOS的,包括我们合作过的做应用加固的公司也说难搞,Android基于Linux的,而Linux下有很多渗透工具,所以都通用。
各种寻找可行方案
接下来是一顿查找,几乎帮网上的资料都翻遍了,终于找到一个开源的项目-MobSF。
MobSF
MobSF(Mobile Security Framework)是一个开源项目,地址,支持Android/iOS/windows平台的漏洞检测、安全性分析等。其中,Android APK可以做静态和动态分析,而iOS ipa只能做静态分析(也比没有的好对吧)。
实操记录
我的电脑是macOS Mojave,下面说一下自己的安装部署步骤以及遇到的问题。
1)安装包下载
MobSF
百度网盘密码:lax
python3.7
百度网盘密码:ugh
注意⚠️:Mac默认安装了2.x的版本,太低。需要另外安装3.6或3.7的版本,最新的3.8不行。
2)SSL连接失败
python安装完之后,需要在“应用程序”中找到python3.7,并运行Install Certificates.command 和Update Shell Profile.command。
3)pip安装MobSF Python依赖项
python3 -m pip install -r requirements.txt --user
4)安装wkhtmltopdf
这是一个html转pdf的工具,后续用来导出扫描报告.pdf。下载地址
5)运行
./setip.sh"
./run.sh
成功
注意⚠️:不能用命令python3 manage.py runserver,否则会缺少样式,如下图
缺少样式
我的博客即将同步至腾讯云+社区,邀请大家一同入驻:
https://cloud.tencent.com/developer/support-plan?invite_code=pa3k733e3ra9
网友评论