前言
最近公司的App需要做漏洞掃描顷链,出一份檢測報(bào)告橄抹,這回頭大了蜜笤。一直以來濒蒋,Android都是用第三方平臺(tái)(騰訊金剛)之類的做漏掃,奈何就沒有支持iOS的把兔,包括我們合作過的做應(yīng)用加固的公司也說難搞沪伙,Android基于Linux的,而Linux下有很多滲透工具县好,所以都通用围橡。
各種尋找可行方案
接下來是一頓查找,幾乎幫網(wǎng)上的資料都翻遍了缕贡,終于找到一個(gè)開源的項(xiàng)目-MobSF翁授。
MobSF
MobSF(Mobile Security Framework)是一個(gè)開源項(xiàng)目,地址晾咪,支持Android/iOS/windows平臺(tái)的漏洞檢測收擦、安全性分析等。其中谍倦,Android APK可以做靜態(tài)和動(dòng)態(tài)分析塞赂,而iOS ipa只能做靜態(tài)分析(也比沒有的好對(duì)吧)。
實(shí)操記錄
我的電腦是macOS Mojave昼蛀,下面說一下自己的安裝部署步驟以及遇到的問題宴猾。
1)安裝包下載
MobSF
百度網(wǎng)盤密碼:lax
python3.7
百度網(wǎng)盤密碼:ugh
注意??:Mac默認(rèn)安裝了2.x的版本,太低曹洽。需要另外安裝3.6或3.7的版本鳍置,最新的3.8不行。
?
2)SSL連接失敗
python安裝完之后送淆,需要在“應(yīng)用程序”中找到python3.7税产,并運(yùn)行Install Certificates.command 和Update Shell Profile.command。
?
3)pip安裝MobSF Python依賴項(xiàng)
python3 -m pip install -r requirements.txt --user
?
4)安裝wkhtmltopdf
這是一個(gè)html轉(zhuǎn)pdf的工具偷崩,后續(xù)用來導(dǎo)出掃描報(bào)告.pdf辟拷。下載地址
?
5)運(yùn)行
./setip.sh"
./run.sh
注意??:不能用命令python3 manage.py runserver,否則會(huì)缺少樣式阐斜,如下圖
我的博客即將同步至騰訊云+社區(qū)衫冻,邀請(qǐng)大家一同入駐:
https://cloud.tencent.com/developer/support-plan?invite_code=pa3k733e3ra9
