Android/IOS应用静态资源分析工具：truegaze，关注源代码之外的安全问题

truegaze Android/IOS应用静态分析工具

一个针对 Android 和 iOS 应用程序的静态分析工具，专注于源代码之外的安全问题，如资源字符串、第三方库和配置文件等。

依赖

Python 3是必需的，您可以在 requirements.txt 文件中找到所有必需的模块。 只在 Python 3.7上测试过，但应该可以在其他3. x 版本上使用。 目前还没有支持2.x 的计划。

truegaze 安装

你可以通过如下的 PIP 安装它:

pip install truegaze
truegaze

要手动下载和运行，请执行以下操作:

git clone https://github.com/nightwatchcybersecurity/truegaze.git
cd truegaze
pip -r requirements.txt
python -m truegaze.cli

truegaze 使用

列出模块:

truegaze list

要扫描应用程序：

truegaze scan test.apk
truegaze scan test.ipa

样本输出

清单模块:

user@localhost:~/$ truegaze list
Total active plugins: 1
+----------------+------------------------------------------+---------+------+
|Name| Description| Android | iOS|
+----------------+------------------------------------------+---------+------+
| AdobeMobileSdk | Detection of incorrect SSL configuration |True | True |
|| in the Adobe Mobile SDK| ||
+----------------+------------------------------------------+---------+------+

扫描应用程序：

user@localhost:~/$ truegaze scan ~/test.ipa
Identified as an iOS application via a manifest located at: Payload/IPAPatch-DummyApp.app/Info.plist
Scanning using the "AdobeMobileSdk" plugin
-- Found 1 configuration file(s)
-- Scanning "Payload/IPAPatch-DummyApp.app/Base.lproj/ADBMobileConfig.json'
---- FOUND: The ["analytics"]["ssl"] setting is missing or false - SSL is not being used
---- FOUND: The ["remotes"]["analytics.poi"] URL doesn't use SSL: http://assets.example.com/c234243g4g4rg.json
---- FOUND: The ["remotes"]["messages"] URL doesn't use SSL: http://assets.example.com/b34343443egerg.json
---- FOUND: A "templateurl" in ["messages"]["payload"] doesn't use SSL: http://my.server.com/?user={user.name}&zip={user.zip}&c16={%sdkver%}&c27=cln,{a.PrevSessionLength}
---- FOUND: A "templateurl" in ["messages"]["payload"] doesn't use SSL: http://my.43434server.com/?user={user.name}&zip={user.zip}&c16={%sdkver%}&c27=cln,{a.PrevSessionLength}
Done!

显示已安装版本:

user@localhost:~/$ truegaze version
Current version: v0.2