使用教程:iOS URL Scheme模糊测试工具 furlzz
furlzzFuzz iOS URL schemes项目地址:https://gitcode.com/gh_mirrors/fu/furlzz
项目先容
furlzz 是一个专为测试 iOS 应用步调URL Scheme计划的小型模糊测试工具。该工具利用了Frida进行动态代码插桩,来实现在不现实通过SpringBoard打开URL的情况下,在目标应用内部进程对URL进行变异和尝试访问。它支持场景继承(scene:continueUserActivity)和标准的应用继承活动方法(application:continueUserActivity),特殊适用于发现那些大概导致应用步调瓦解的安全漏洞或不稳固行为。furlzz为安全研究职员和开发者提供了一个高效的手段来验证iOS应用对自界说URL方案处理处罚的健壮性。
项目快速启动
安装furlzz
首先,你可以选择下载预编译的二进制文件,或者手动通过Go进行安装。手动安装步调如下:
- 根据devkit的文档,完成必要的准备。
- 打开终端,实行以下下令以安装最新版本的furlzz:
- go install github.com/nsecho/furlzz@latest
使用furlzz进行模糊测试
假设你想针对Bear应用的URL Scheme进行测试,以下是基本步调:
- furlzz fuzz --app Bear --base "bear://x-callback-url/search term=" --input bear_input/ --method scene_context -d Bear\ SFDefaultSceneDelegate -s SFDefaultScene -t 1
应用案例和最佳实践
案例一:检测Bear应用的漏洞
通过上述下令实行后,furlzz将对 Bear 应用的URL Scheme进行一系列变异测试。在测试过程中,若找到可以导致应用瓦解的URL模式,furlzz不光会记录下这一情况,还会生成一个“session”文件和“crash”文件,允许开发者复现标题。
最佳实践
- 输入编码:确保你的初始输入经过适当的URL编码,必要时使用--function url来主动处理处罚。
- 调试与分析:一旦发现潜在的故障点,利用furlzz提供的crash下令复现实验,深入分析瓦解缘故因由。
- 调整计谋:根据目标应用的相应,逐步调整模糊参数如时间间隔(-t)、变异类型等,以更有效地覆盖潜在的标题区域。
典范生态项目
虽然本项目专注于iOS URL Scheme的模糊测试,但其技术原理和应用方式可广泛启发其他范畴的安全测试工具开发,比如Web应用步调的SQL注入测试工具、API端点的主动化安全性扫描器等。此外,furlzz作为针对移动应用安全性研究的一部分,也促进了开源社区在移动应用安全测试工具方面的进步,鼓励更多开发者关注和参与移动应用的安全性加固工作。
以上就是关于furlzz的快速入门指南。记住,模糊测试是提高应用健壮性和安全性的重要一步,正确使用此类工具可以资助你在开发周期早期识别并修复潜在的伤害点。
furlzzFuzz iOS URL schemes项目地址:https://gitcode.com/gh_mirrors/fu/furlzz
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
