APP安全测试服务器环境搭建:零基础搭建APP安全测试服务器
搭建前需要准备什么
在开始搭建APP安全测试服务器环境之前,你需要确认以下条件:
- 一台云服务器或本地虚拟机:推荐使用 Ubuntu 20.04 或 22.04 LTS 系统,2核4G配置起步(后面安装工具会更流畅)。
- SSH客户端:Windows 用 Xshell 或 PuTTY,macOS/Linux 直接打开终端。
- 基本的Linux命令常识:知道
cd、ls、sudo即可,本文会给出完整命令。 - 网络环境:服务器能正常访问外网,必要时配置代理。
准备好这些之后,我们就可以正式动手了。
搭建核心环境:安装必要软件
整个APP安全测试服务器环境搭建围绕两个核心工具展开:MobSF(移动安全框架,用于静态和动态分析)和 Burp Suite(抓包与重放工具)。
下面按步骤操作。
1. 更新系统并安装依赖
通过 SSH 登录服务器后,先执行系统更新:
sudo apt update && sudo apt upgrade -y
sudo apt install -y wget curl git unzip python3 python3-pip2. 安装 Java环境(Burp Suite 需要)
Burp Suite 基于 Java,安装 OpenJDK 11:
sudo apt install -y openjdk-11-jdk
java -version # 验证安装,输出类似 openjdk version "11.0.xx"3. 下载并配置 Android SDK(MobSF 依赖)
MobSF 动态分析需要 Android SDK。
我们将其安装在 /opt/android-sdk:
sudo mkdir -p /opt/android-sdk
cd /opt/android-sdk
sudo wget https://dl.google.com/android/repository/commandlinetools-linux-9477386_latest.zip
sudo unzip commandlinetools-linux-*.zip然后设置环境变量,编辑 ~/.bashrc:
echo 'export ANDROID_HOME=/opt/android-sdk' >> ~/.bashrc
echo 'export PATH=$PATH:$ANDROID_HOME/cmdline-tools/latest/bin:$ANDROID_HOME/platform-tools' >> ~/.bashrc
source ~/.bashrc接受许可并安装基本组件:
sdkmanager --sdk_root=$ANDROID_HOME --licenses
sdkmanager "platform-tools" "build-tools;33.0.0" "platforms;android-33"这个过程需要几分钟,请耐心等待。
4. 安装并运行 MobSF
克隆 MobSF 仓库:
cd /opt
sudo git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git
cd Mobile-Security-Framework-MobSF执行安装脚本:
sudo ./setup.sh安装完成后启动:
sudo ./run.sh 0.0.0.0:8000这时你可以在浏览器访问 http://你的服务器IP:8000,如果看到 MobSF 界面,说明安装成功。
5. 安装并配置 Burp Suite
下载 Burp Suite Community 版(免费):
cd /opt
sudo wget https://portswigger.net/burp/releases/download?product=community&version=2023.12.1.4&type=linux64 -O burp_linux.sh
sudo chmod +x burp_linux.sh
sudo ./burp_linux.sh按照图形界面提示完成安装(选择安装目录,默认即可)。
之后可以通过 java -jar /opt/BurpSuiteCommunity.jar 启动(如果安装到默认路径的话)。
为了方便,创建一个 systemd 服务可以减少手工启动。
但作为测试环境,直接手动启动更简单。
常见错误与解决办法
错误1:SDK Manager 提示 "Error: Unknown host"
- 原因:网络问题,无法下载组件。
- 解决:检查服务器能否访问 dl.google.com,改用代理或更换国内镜像源。
错误2:MobSF 启动时报 "No module named '...'"
- 原因:Python 依赖未安装完整。
- 解决:重新执行
sudo ./setup.sh,或手动安装缺失的包pip3 install 包名。
错误3:Burp Suite 启动无反应
- 原因:Java 版本不兼容。
- 解决:确认
java -version输出是 11 或更高,若版本过低则重新安装 OpenJDK 11。
验证环境是否可用
完成上述步骤后,按以下方式验证整个APP安全测试服务器环境搭建是否成功:
- 访问 MobSF Web 界面(
http://IP:8000),上传一个 APK 文件(比如测试用的HelloWorld.apk),点击“分析”,观察是否正常生成报告。 - 在服务器上启动 Burp Suite,设置监听端口 8080,然后在本地手机或模拟器上配置代理指向服务器 IP:8080,尝试浏览网页,确认 Burp 能抓到流量。
- 使用
adb connect 服务器IP(如果配置了 ADB)连接测试设备,执行adb devices检查连接状态。
如果以上三项都能正常通过,说明环境搭建成功,可以开始进行实际的APP安全测试了。
写在最后
APP安全测试服务器环境搭建并不复杂,关键是把依赖一步步安装到位。
本文基于 Ubuntu 系统,如果你使用 CentOS 或其他发行版,部分命令需要做对应调整。
遇到问题先看错误日志(比如 MobSF 的 mobsf.log),多数情况都能找到线索。
熟练之后,你甚至可以编写自动化脚本,一键完成部署。
现在就开始动手吧!
