# MobSFScan **Название задания в Auditor**: Mobsfscan\ **Образ в Auditor:** `registry.cybercodereview.ru/cybercodereview/security-images/mobsfscan:0.0.8`\ **Название импортера в Security Center**: Mobsfscan [MobSFScan](https://github.com/MobSF/mobsfscan) - это инструмент статического анализа, который позволяет найти небезопасные паттерны кода в исходном коде **Android** и **iOS**. Поддерживает код на Java, Kotlin, Swift и Objective C. mobsfscan использует правила статического анализа MobSF и работает на основе semgrep и libsast pattern matcher. {% hint style="info" %} Обратите внимание, что импортер для MobSFScan поддерживает только формат **--sarif**. {% endhint %} **Пример команды Curl** ``` curl -X POST localhost/api/v1/scan/import/ -H "Authorization: Token a75bb26171cf391671e67b128bfc8ae1c779ff7b" -H "Content-Type: multipart/form-data" -F "file=@./mobsfscan.json" -F "product_name=Product1" -F "product_type=Application" -F "scanner_name=Mobsfscan" -F "branch=dev" -F "repository=git@gitlab.cybercodereview.ru:cybercodereview/security-center.git" ``` В этой команде используются следующие параметры: 1. `-X POST`: задает используемый метод HTTP (в данном случае POST). 2. `-H "Authorization: Token "`: задает [**токен авторизации**](https://docs.cybercodereview.ru/security-center/importing-reports-from-scanners-to-security-center#token-avtorizacii), полученный от Security Center. 3. `-H "Content-Type: multipart/form-data"`: задает тип содержимого запроса. 4. `-F "file=@"`: задает **путь к файлу отчета**, создаваемого сканером. 5. `-F "product_name="`: задает **название** сканируемого **продукта**. 6. `-F "product_type="`: задает **тип** сканируемого **продукта**. 7. `-F "scanner_name="`: задает **имя сканера**, используемого для создания отчета (Bandit Scan или GitLab Bandit). 8. `-F "branch="`: (*необязательно*) указывает имя ветки в репозитории исходного кода (если применимо). Этот параметр особенно полезен, когда вы хотите связать результаты сканирования с определенной веткой в вашем репозитории. Если параметр не указан, сканирование будет связано с веткой по умолчанию. Информация об активах, если используется [Auditor](https://docs.cybercodereview.ru/auditor) 1. `-F "repository="`: Если ваш продукт хранится в **репозитории**, введите адрес **репозитория** в определенном формате, например: :cybercodereview/security-center.git 2. `-F "docker_image="`: Если ваш продукт является **образом**, введите адрес **реестра**, в котором находится ваш продукт, например: rregistry.cybercodereview\.ru/cybercodereview/security-center/back/importer:latest 3. `-F "domain="`: Если ваш продукт является **веб-продуктом**, введите **доменное имя** вашего продукта, например: cybercodereview\.ru 4. `-F "host="`: Если ваш продукт является **веб-продуктом**, введите **IP-адрес** вашего продукта, например: 0.0.0.0. **Пример отчета:** ``` $ mobsfscan tests/assets/src/ - Pattern Match ████████████████████████████████████████████████████████████ 3 - Semantic Grep ██████ 37 mobsfscan: v0.3.0 | Ajin Abraham | opensecurity.in ╒══════════════╤════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════╕ │ RULE ID │ android_webview_ignore_ssl │ ├──────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤ │ DESCRIPTION │ Insecure WebView Implementation. WebView ignores SSL Certificate errors and accept any SSL Certificate. This application is vulnerable to MITM attacks │ ├──────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤ │ TYPE │ RegexAnd │ ├──────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤ │ PATTERN │ ['onReceivedSslError\\(WebView', '\\.proceed\\(\\);'] │ ├──────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤ │ SEVERITY │ ERROR │ ├──────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤ │ INPUTCASE │ exact │ ├──────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 7.4 │ ├──────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤ │ CWE │ CWE-295 Improper Certificate Validation │ ├──────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤ │ OWASP-MOBILE │ M3: Insecure Communication │ ├──────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤ │ MASVS │ MSTG-NETWORK-3 │ ├──────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤ │ REF │ https://github.com/MobSF/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md#webview-server-certificate-verification │ ├──────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤ │ FILES │ ╒════════════════╤═════════════════════════════════════════════════════════════════════════════════════════════╕ │ │ │ │ File │ ../test_files/android_src/app/src/main/java/opensecurity/webviewignoressl/MainActivity.java │ │ │ │ ├────────────────┼─────────────────────────────────────────────────────────────────────────────────────────────┤ │ │ │ │ Match Position │ 1480 - 1491 │ │ │ │ ├────────────────┼─────────────────────────────────────────────────────────────────────────────────────────────┤ │ │ │ │ Line Number(s) │ 50 │ │ │ │ ├────────────────┼─────────────────────────────────────────────────────────────────────────────────────────────┤ │ │ │ │ Match String │ .proceed(); │ │ │ │ ├────────────────┼─────────────────────────────────────────────────────────────────────────────────────────────┤ │ │ │ │ File │ ../test_files/android_src/app/src/main/java/opensecurity/webviewignoressl/MainActivity.java │ │ │ │ ├────────────────┼─────────────────────────────────────────────────────────────────────────────────────────────┤ │ │ │ │ Match Position │ 1331 - 1357 │ │ │ │ ├────────────────┼─────────────────────────────────────────────────────────────────────────────────────────────┤ │ │ │ │ Line Number(s) │ 46 │ │ │ │ ├────────────────┼─────────────────────────────────────────────────────────────────────────────────────────────┤ │ │ │ │ Match String │ onReceivedSslError(WebView │ │ │ │ ╘════════════════╧═════════════════════════════════════════════════════════════════════════════════════════════╛ │ ╘══════════════╧════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════╛ ```