学习
实践
活动
工具
TVP
写文章

移动端App安全扫描平台-MobSF

MobSF简介 MobSF(Mobile-Security-Framework)是一种开源自动化的移动应用程序(Android / iOS / Windows)安全测试框架,能够执行静态,动态和恶意软件分析 它可用于Android/iOS和Windows移动应用程序的有效和快速安全分析,并支持二进制文件(APK,IPA和APPX)分析。 下载地址: Mobile-Security-Framework-MobSF/releases 下载安装:wkhtmltopdf 该工具用于将安全测试报告转化为pdf格式。 Android API信息 Androidmanifest分析(标志位、组件配置等) 代码分析、文件分析 url、email、string等 iOS IPA基本信息 自定义网址方案 权限许可 应用传输安全性 报告汉化 该平台没有提供多语言版本,所以想要中文显示界面需要需要自己汉化,主要是汉化项目中templates中的前端页面文件。

2.3K20

EasyGBS平台新增登录验证,保障平台数据安全

平台部署简单、可拓展性强,支持将接入的视频流进行全终端、全平台分发,分发的视频流包括RTSP、RTMP、FLV、HLS、WebRTC等格式。 有用户提出需求,在Linux服务环境中,登录EasyGBS会报安全漏洞的错误,希望我们能对此细节进行优化。 在原先的EasyGBS项目中,登录使用了Get请求,虽然进行了加密处理但存在安全隐患,现在需要将原先的Get请求更换成Post请求,将密码加盐处理,并增加登录验证。 今天来分享一下:如何在前端代码中实现登录验证?1)对密码进行加盐处理,参考代码如下:2)添加如下代码,完成验证码的验证。至此,即完成了整个功能。 登录验证的功能有利于增强平台安全性,可以有效防范不法分子对网络进行攻击等行为,保障平台的视频等数据资源隐私性与安全性。

8830
  • 广告
    关闭

    云安全产品11.11特惠

    无需部署、智能易用的云安全SaaS产品双11特惠来袭,新老同享,一年一度!挖矿木马,加密勒索,高危漏洞等多种安全问题一网打尽,包月产品三个月8折,六个月7折;普惠产品低至每天0.3元

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    MobSF移动安全扫描平台环境搭建与试用

    MobSF简介 MobSF(Mobile-Security-Framework)是一种开源自动化的移动应用程序(Android / iOS / Windows)安全测试框架,能够执行静态,动态和恶意软件分析 它可用于Android/iOS和Windows移动应用程序的有效和快速安全分析,并支持二进制文件(APK,IPA和APPX)分析。 MobSF安装 如何安装呢,docker安装最简单快速。 Android API信息 Androidmanifest分析(标志位、组件配置等) 代码分析、文件分析 url、email、string等 iOS IPA基本信息 自定义网址方案 权限许可 应用传输安全性 如果我们要通过接口进行一些交互呢,平台已经给我们封装好了一些现成的API接口。我们可以点击上面的API访问 ? 对应的接口还有详细的说明文档 ? 一个挺不错的工具,简单的开箱即用。

    63530

    EasyGBS国标视频平台新增IP登录锁定,增强用户登录安全

    EasyGBS国标视频云服务平台也是基于国标GB28181协议而生,在安防行业应用比较广泛的视频监控平台。 EasyGBS平台支持国标协议的设备接入,并提供RTSP、RTMP、FLV、HLS、WebRTC等多种格式的视频流进行分发,能够为大数据平台的搭建提供视频能力的支持,在很多线下项目中落地应用。 随着网络安全问题的频发,EasyGBS也增强了对用户安全性的考虑,近期我们在EasyGBS新增了一个IP登陆错误次数的功能,用户登录错误超过一定次数,则锁定对应IP。 IP的功能,有利于保障用户账号登录安全性。 我们也将不定期在博客更新关于EasyGBS平台的功能开发及优化、FAQ、配置操作等内容,欢迎大家关注我们的更新,或留言与我们互动。

    12110

    qq平台登录

    在APP开发过程中,时常会用到第三方账号登录体系。 下面,简要说明QQ的第三方登录体系在Android平台上的运用。 申请APPID 进入QQ互联的官网,http://connect.qq.com/ 在管理中心中创建移动应用。 ? 创建完成后,可以得到APPID。 ? 创建登录接口 所有的SDK接口调用,都会传入一个回调,用以接收SDK返回的调用结果。 回调的主要接口有两种: (1) IUiListener:调用SDK已经封装好的接口时,例如:登录、快速支付登录、应用分享、应用邀请等接口。 在这里创建IUiListener接口实现相应的登录授权操作: private void onClickLogin() {   if (!

    3.6K110

    网站安全登录 web应用安全登录 密码 防截获

    难题: 平时web应用,网站,一般都有用户登录这个功能,那么登录的话,肯定涉及到密码。怎么保证用户的密码不会被第三方不法之徒获取到呢? 不法之徒的途径肯定多了,高级点的,直接挂马啊,客户端木马啊。 但这里不考虑这么多,就假设网页和客户端都是安全的,那么怎么防止网络中被截获呢? 原始方法: 一般如果是企业内部应用,没什么安全要求,就直接不管了。 账号和明文密码发送~~了事~~ 安全方法1: post之前,先把密码用DES加密,到服务器解密。 问题:一旦被截获了key,很可能密码还是被人解密出来~~~ 安全方法2: 数据库存的是密码的MD5散列值,每次post前先MD5散列。这样就可以避免被人解密密码了。 问题:好吧,我不解密你密码了。 安全方法3(暂时我想到比较安全的): 1、数据库存的是密码的MD5散列值(防止被人直接通过数据库入手) 2、每次打开登陆页面,随机给用户一个RSA公钥(为了保证效率,可以先生成几百个KEY对) 3、用户

    78730

    移动云存储服务平台Parse下的iOS安全分析

    Parse:专为移动应用提供后台服务的云平台 Parse是由 YC 孵化出来的、专为移动应用提供后台服务的云计算平台,为开发者包办繁琐的后台服务,让开发者只需专注于具体的开发工作。 Parse向移动端开发者提供了许多实用的功能,比如云数据存储,推送通知,使用情况报告,崩溃日志统计,代码托管,后台作业以及其他一些功能。 所有的云数据都是存储在所谓的定制类目中(普通的数据类表) 或许正是Parse这种简单的产品体验,让开发者遗忘了安全问题以及漏洞。 我在Parse平台上有一个项目,在配置AOLs上面花费了大量时间,所以我十分感兴趣其他开发者是如何配置他们在Parse上的账户的。 从权限列表中我们可以得知,开发者尝试将产品做的更安全,但是这点还是不够。这里就展示一下我们可以实现操纵的ChatMessage类。

    46280

    移动应用安全-腾讯云移动应用安全APP加固

    腾讯云移动应用安全提供稳定、有效的移动应用安全服务,为用户提供移动应用全生命周期的安全解决方案 腾讯云移动应用安全详情点击查看 移动应用安全 MS 的简介 移动应用安全(Mobile Security 稳定、简单、有效,让移动安全建设不再是一种负担。 腾讯云移动应用安全的产品特性 全面 提供移动应用(APP)全生命周期的安全解决方案,有效提升应用整体安全水平。 基于腾讯云移动安全大数据的盗版监控服务,覆盖 12 亿移动终端,实现盗版传播有效拦截;国内 400 家应用渠道实时监测,同时涵盖各类论坛、网盘等平台,发现正盗版能力业内领先。 此时移动安全建设的重点,是各阶段均能够方便的获取所需的移动安全解决方案,融入到自身的开发工作中。让移动安全工作简单、方便的与应用研发同步。腾讯云为用户提供移动应用全生命周期的一站式解决方案。 那么移动安全的重点就在于提出应用开发需求时,应同时对移动应用的安全诉求进行明确说明;以及应用验收时,对于移动应用安全和兼容性的把控。

    1.4K40

    技术中台之移动平台安全架构设计

    2.1移动网关架构体系设计 ? 移动网关是企业所有移动应用、终端、消费方统一接入的入口,是移动平台的核心组件之一。 移动网关结合IAM,提供身份安全校验能力: a) 支持对微应用进行颁发用户安全访问token和验证 b) 支持异常登录账号锁定 c) 支持用户设备绑定 • 网关安全之应用访问授权设计 移动网关提供了API c、支持对调用者进行设备号黑白名单配置 d、支持对客户端进行应用API白名单配置 三、移动平台安全设计之移动终端 移动App建设和传统的B/S模式不同,它是有一个介质运行在最终用户终端,这个介质的安全性也至关重要 3.1移动终端基础架构设计 ? 移动平台基座架构安全设计主要包含以下四大方面: a、数据传输安全 提供完整的应用更新流程API,提供应用包、热更新包完整性校验,防止介质被攻击修改注入攻击代码。 本文主要给大家举例讲述了常见的移动安全问题及安全问题所带来的严重后果,然后给大家介绍了普元移动平台在接入网关和移动终端设计方面是如何保障用户信息安全的。

    64410

    移动安全新“驾照”

    一、背景 随着大数据和人工智能时代的到来,数据的价值也逐渐增加,移动终端设备标识码,如国际移动设备识别码(IMEI)、Wi-Fi MAC地址、SIM卡国际移动用户识别码(IMSI)和蓝牙地址等终端设备标识信息的收集和使用成为普遍现象 为更好的适配Android 10系统,近期小编所在的项目产品接入了移动安全联盟(MSA)推广的统一的OAID SDK,下面将简单的介绍下OAID及该SDK的测试总结。 二、OAID介绍 移动安全联盟(MSA)等联合制定的联盟标准《移动智能终端补充设备标识体系规范》中,为保护用户的隐私和标识设备的唯一性,根据不同使用对象和不同用途,基于移动智能终端设备,生成如下补充设备标识体系 ,协助移动应用开发者更便捷的访问移动智能终端补充设备标识体系,推进相关业务(eg.广告业务)。 兼容性测试 主流厂商各系统机型的适配测试 根据移动安全联盟(MSA)官网说明,当前SDK支持的厂商及版本计划如下所示。

    2.1K10

    移动安全框架(MobSF)

    移动安全框架(MobSF) 目录 1、简介 2、所需环境 3、安装部署 4、运行 5、操作 5.1、静态分析 5.2、动态分析 5.3、最近扫描 5.4、REST API 1、简介 移动安全框架(MobSF )是一个自动化、一体化的移动应用程序(Android/iOS/Windows)渗透测试、恶意软件分析和安全评估框架,能够执行静态和动态分析。 MobSF 支持移动应用程序二进制文件(APK、XAPK、IPA 和 APPX)以及压缩的源代码,并提供 REST API,以便与 CI/CD 或 DevSecOps 管道无缝集成。 动态分析器帮助您执行运行时安全性评估和交互式检测测试。 如果使用 Docker 部署的话,Docker 不支持动态分析。 4、点击安全记分卡 可以看到安全分数、风险评级、严重性分布、隐私风险等信息。

    28230

    安全平台

    安全平台

    28920

    为了安全微信公众平台将逐步开启帐号扫码登录

    4月5日消息,为了公众号的安全微信公众平台将逐步开启帐号扫码登录。 帐号安全与公众号运营者的利益密切相关,一旦帐号密码泄露,有可能被盗号者利用来发送欺诈等恶意信息,对运营者及平台都造成巨大的损失。    为了加强公众号的帐号安全,微信公众平台于2014年推出了安全中心,用户可通过安全中心开启保护、开启提醒。开启保护后,即使盗号者获取到帐号密码,也无法登录公众号进行下一步操作,提高了帐号的安全性。    部分用户安全意识仍较薄弱,近期平台对存在盗号风险的帐号开启登录保护后,运营者仍进行了关闭,盗号者仍能恶意使用帐号。即日起,微信公众平台将逐步为公众帐号开启登录保护,且不能关闭。 未开启登录保护的帐号,建议自行登录公众平台,在“安全中心”内开启登录保护。   开启入口如下(安全中心/风险操作保护): ?

    76150

    移动安全移动应用安全基础篇——破掉iOS加密数据

    name=TideSec 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本篇为tales移动安全专题第三篇。 1、移动应用安全基础篇——Android、ios环境准备 https://www.freebuf.com/column/199666.html 2、移动应用安全基础篇——绕过iOS越狱检测 https 在登录处抓包发现,request包和response包都为加密传输: appmon提供的scripts hack.lu提供的scripts 通过参考github上的js脚本,改写了个较为全面的hook.js 砸壳完成后会生成ipa文件,我们解压缩然后使用IDA加载完二进制文件 然后在String窗口搜索loginbypassword(这个是登录时的信息),搜索后进入对应的类,接下来我们进入这个类看它用了哪些方法 ; } --------------- 本文转载自Tide安全团队微信公众号

    1.2K20

    安全测试|移动安全测试drozer

    手机应用的快速增长,手机应用安全成为一个热门的话题,android的安全问题有一大部分的原因是因为android的组件暴露、权限使用不当导致的。 ? “ 随着互联网应用的普及和人们对互联网的依赖,互联网的安全问题也日益凸显。接下来的小编将带您进入安全测试。” 一、android四大组件 什么是安卓应用组件?

    46130

    MobSF移动安全扫描平台本地化部署与简单汉化

    ---- 前言 在之前的文章MobSF移动安全扫描平台环境搭建与试用 中,我们用docker进行了搭建,那么我们如何在本地直接搭建呢,其实也是很简单的。 ? ? 二、汉化 如何汉化呢,其实看了下大概的代码,里面是一个Django开发的web平台,那么我们要汉化如何做呢,其实可以直接修改mbsf文件夹下的templates即可,这是一个简单的汉化的方式

    59120

    Apache安全-用户登录验证

    一、登录验证 当用户访问网站或者网站某个目录时,如果希望用户提供授权才能登录,那么就需要针对该站或者该目录设置登录验证了。apache提供了该功能,可以让我们针对站点或目录设置登录验证。 这样用户访问网站时需要提交账号密码才能登录。 二、登录验证实现 1)修改apache配置文件 <Directory "/usr/local/apache/htdocs/web1/a"> AuthName "Private" AuthType Basic

    6720

    移动边缘计算安全研究

    图1 边缘计算的价值 由于移动边缘计算平台移动边缘计算应用部署在通用服务器上,并且靠近用户,处于相对不安全的物理环境、管理控制能力减弱等,导致移动边缘计算存在移动边缘计算平台移动边缘计算应用遭受非授权访问 ,由虚拟化基础设施管理提供对虚拟化基础设施的管理, 由移动边缘计算平台管理提供对移动边缘计算平台的管理,由移动边缘编排器提供对ME app 的编排。 R-GW 将用户流量分流到 MEC 平台上的 CDN 应用,实现 CDN 下沉, 提供加速内容业务,从而给用户提供更好的业务体验。 三、移动边缘计算安全 1. 2.移动边缘计算的安全防护框架 边缘计算安全除了考虑基础设施的安全以及管理、组网安全之外,还应考虑 MEC 平台安全、ME app 安全、数据面网关安全以及MEC 编排和管理的安全,其安全防护框架如图 ;如果需远程登录移动边缘编排和管理系统网元,应使用SSHv2 等安全协议登陆进行操作维护。

    91720

    扫码关注腾讯云开发者

    领取腾讯云代金券