freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Truegaze:一款针对Android、iOS应用源码的静态分析工具
2019-10-21 15:00:19

Truegaze

Truegaze是一款专门针对Android和iOS应用程序的静态分析工具,该工具主要针对的是应用程序源代码之外的资源安全问题,例如字符串、第三方库和配置文件等等。广大研究人员可以利用Truegaze来对目标移动端应用程序进行安全检测与分析。

工具要求

该工具的正常运行需要Python 3环境,我们可以直接在requirements.txt文件中找到所有的依赖模块。该工具目前只在Python 3.7环境下进行了测试,但理论上可以在所有的Python 3.x版本上运行,目前该工具还不支持Python 2.x环境。

工具安装

我们可以使用下列命令并通过pip来安装Truegaze:

pip install truegaze

truegaze

大家还可以手动下载并运行Truegaze:

git clone https://github.com/nightwatchcybersecurity/truegaze.git

cd truegaze

pip -r requirements.txt

python -m truegaze.cli

工具使用

枚举功能模块:

truegaze list

扫描目标应用程序:

truegaze scan test.apk

truegaze scan test.ipa

扫描多个应用程序:

truegaze scan *.apk

truegaze scan *.ipa

工具样本输出

功能模块枚举:

扫描目标应用程序:

user@localhost:~/$ truegaze scan ~/test.ipa

Identified as an iOS application via a manifest located at: Payload/IPAPatch-DummyApp.app/Info.plist

Scanning using the "AdobeMobileSdk" plugin

-- Found 1 configuration file(s)

-- Scanning "Payload/IPAPatch-DummyApp.app/Base.lproj/ADBMobileConfig.json'

---- FOUND: The ["analytics"]["ssl"] setting is missing or false - SSL is not being used

---- FOUND: The ["remotes"]["analytics.poi"] URL doesn't use SSL: http://assets.example.com/c234243g4g4rg.json

---- FOUND: The ["remotes"]["messages"] URL doesn't use SSL: http://assets.example.com/b34343443egerg.json

---- FOUND: A "templateurl" in ["messages"]["payload"] doesn't use SSL: http://my.server.com/?user={user.name}&zip={user.zip}&c16={%sdkver%}&c27=cln,{a.PrevSessionLength}

---- FOUND: A "templateurl" in ["messages"]["payload"] doesn't use SSL: http://my.43434server.com/?user={user.name}&zip={user.zip}&c16={%sdkver%}&c27=cln,{a.PrevSessionLength}

Done!

显示已安装的工具版本:

user@localhost:~/$ truegaze version

Current version: v0.2

工具架构

Truegaze是一款命令行工具,该工具由多个能够检测安全漏洞的功能模块组成,其中的每一个模块都可以执行单独的扫描任务,所有的扫描结果都可以直接打印输出在命令行工具中。

项目地址

Truegaze:【GitHub传送门

* 参考来源:nightwatchcybersecurity,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM


# Android # ios # 静态分析 # Truegaze
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者