الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

أندرويد-تطبيق-Pentesting

222998869-6d1866de-3796-4744-bcd4-806fa016ab6f.png

تطوير الروبوت

للمبتدئين

  • الروبوت العمارة

  • مقدمة إلى Pentesting للجوال

فيديوهات يوتيوب باللغة الإنجليزية:

  • بت من فضلك

  • المتعلمين من الداخل

  • القرصنة مبسطة

فيديوهات يوتيوب باللغة الهندية:

  • تحصين الحلول

  • عبيد أحمد

كتب PDF

  • الأجزاء الداخلية لأمان Android: دليل متعمق لبنية أمان Android

  • تعلم Pentesting لأجهزة Android دليل عملي

  • الهجمات والدفاعات الأمنية لنظام Android

تجاوز تثبيت SSL لنظام Android

  • تجاوز تثبيت SSL لنظام Android

كيفية العثور على الخلل في تطبيق أندرويد

  1. اختبار-فريدا

  2. اختبار-Drozer

  3. ADB-الأوامر-Cheatsheet

  4. التحليل الآلي باستخدام MobSF

  5. اختبار-عرض الويب-الهجمات

  6. استغلال الارتباط العميق

تنزيل APK

  1. https://apk-dl.com/

  2. https://en.uptodown.com/

  3. https://en.aptoide.com/

  4. https://www.apkmirror.com/

  5. https://f-droid.org/en/

  6. https://en.softonic.com/

  7. https://androidapksfree.com/

أداة لنظام التشغيل Windows

  1. أبي

    • Appie Framework هو إطار عمل مفتوح المصدر شائع يستخدم لاختبار اختراق تطبيقات Android. فهو يوفر بيئة شاملة ومكتفية ذاتيًا مصممة خصيصًا لتسهيل اختبار تطبيقات Android

دليل استخدام أداة الاعتراض

يوفر هذا المستودع دليلاً شاملاً حول كيفية استخدام أداة الاعتراض لاختبار أمان الأجهزة المحمولة. Objection عبارة عن مجموعة أدوات لاستكشاف الأجهزة المحمولة في وقت التشغيل، مدعومة من Frida، وهي مصممة لمساعدة مختبري الاختراق على تقييم أمان تطبيقات الأجهزة المحمولة دون الحاجة إلى كسر الحماية أو الوصول إلى الجذر.

جدول المحتويات

  • مقدمة

  • سمات

  • تثبيت

    • المتطلبات الأساسية

    • تثبيت الاعتراض

  • الاستخدام الأساسي

    • بدء الاعتراض

    • الأوامر المشتركة

  • الاستخدام المتقدم

    • تجاوز تثبيت SSL

    • التفاعل مع نظام الملفات

    • معالجة بيانات التطبيق

  • استكشاف الأخطاء وإصلاحها

  • المساهمة

  • رخصة

مقدمة

يعد Objection أداة قوية تسمح للباحثين في مجال الأمن باستكشاف واختبار أمان تطبيقات الهاتف المحمول في وقت التشغيل. فهو يوفر واجهة سهلة الاستخدام لمهام مثل تجاوز تثبيت SSL ومعالجة بيانات التطبيق واستكشاف نظام الملفات وغير ذلك الكثير. يعد Objection مفيدًا بشكل خاص لأنه يعمل على كل من أجهزة Android و iOS دون الحاجة إلى الجذر أو كسر الحماية.

سمات

  • تجاوز تثبيت SSL : قم بتعطيل تثبيت SSL بسهولة في تطبيقات الهاتف المحمول لاعتراض حركة مرور الشبكة.

  • استكشاف نظام الملفات : الوصول إلى نظام الملفات الخاص بتطبيق الهاتف المحمول ومعالجته في وقت التشغيل.

  • معالجة وقت التشغيل : تعديل سلوك التطبيق وبياناته أثناء تشغيل التطبيق.

  • نظام أساسي مشترك : يدعم كلاً من أجهزة Android وiOS.

تثبيت

المتطلبات الأساسية

قبل تثبيت Objection، تأكد من تثبيت ما يلي على نظامك:

  • Python 3.x : Objection هي أداة تعتمد على Python وتتطلب Python 3.x للتشغيل.

  • فريدا : الاعتراض يستخدم فريدا تحت الغطاء. يمكنك تثبيت Frida باستخدام النقطة:

     نقطة تثبيت أدوات فريدا

  • ADB (Android Debug Bridge) : مطلوب للتفاعل مع أجهزة Android.

تثبيت الاعتراض

يمكنك تثبيت الاعتراض باستخدام النقطة:

 اعتراض تثبيت النقطة

بعد التثبيت، تحقق من تثبيت Objection بشكل صحيح عن طريق تشغيل:

 اعتراض--مساعدة

الاستخدام الأساسي

بدء الاعتراض

لبدء استخدام Objection مع تطبيق الهاتف المحمول، تأكد أولاً من تشغيل التطبيق على الجهاز. ثم قم بتشغيل الاعتراض باستخدام الأمر التالي:

 اعتراض -g استكشاف <app_package_name>

استبدل <app_package_name> باسم الحزمة الفعلية لتطبيق الهاتف المحمول (على سبيل المثال، com.example.app ).

الأوامر المشتركة

  • تجاوز تثبيت SSL :

     تعطيل sslpinning الروبوت

    يقوم هذا الأمر بتعطيل تثبيت SSL، مما يسمح لك باعتراض حركة مرور HTTPS.

  • استكشاف نظام الملفات :

     أندرويد FS إل إس /

    يسرد الملفات والدلائل في الدليل الجذر لنظام ملفات التطبيق.

  • تفريغ قواعد بيانات SQLite :

     قائمة الروبوت سكليتي
تفريغ android sqlite <database_name>

    يسرد ويتخلص من محتويات قواعد بيانات SQLite التي يستخدمها التطبيق.

  • فحص سلسلة المفاتيح/التفضيلات المشتركة :

     قائمة تفضيلات android
تفريغ سلسلة مفاتيح iOS

    يسرد ويتخلص من التفضيلات المشتركة على Android أو بيانات سلسلة المفاتيح على iOS.

الاستخدام المتقدم

تجاوز تثبيت SSL

يجعل الاعتراض من السهل تجاوز تثبيت SSL في تطبيقات الهاتف المحمول، وهو أمر مفيد لاعتراض وتحليل حركة مرور HTTPS أثناء تقييمات الأمان. ما عليك سوى استخدام الأمر التالي:

 تعطيل sslpinning الروبوت

التفاعل مع نظام الملفات

يمكنك استكشاف نظام الملفات الخاص بالتطبيق ومعالجته مباشرةً من سطر أوامر الاعتراض:

  • قائمة الملفات :

     android FS ls /data/data/com.example.app/files/

  • تنزيل ملف :

     تنزيل android FS /data/data/com.example.app/files/secret.txt

معالجة بيانات التطبيق

يسمح لك الاعتراض بتعديل البيانات التي يستخدمها التطبيق في وقت التشغيل:

  • تغيير قيمة المتغير :

     مجموعة ربط android class_variable com.example.app.ClassNamevariableName newValue

  • تفعيل وظيفة :

     استدعاء ربط android com.example.app.ClassName الطريقةName arg1,arg2

استكشاف الأخطاء وإصلاحها

  • الاعتراض غير متصل : تأكد من توصيل جهازك بشكل صحيح عبر USB وأن ADB يعمل لأجهزة Android. بالنسبة لنظام التشغيل iOS، تأكد من تثبيت Frida بشكل صحيح على الجهاز.

  • تثبيت SSL غير معطل : قد تقوم بعض التطبيقات بتنفيذ تثبيت SSL بطرق تقاوم طريقة التجاوز الافتراضية للاعتراض. في مثل هذه الحالات، قد تحتاج إلى استخدام نصوص Frida النصية المخصصة.

قائمة التحقق من البحث عن الأخطاء لنظام Android

  • Workbook.securityboat.in

  • book.hacktricks.xyz

  • blog.software.com

  • xmind.app

  • hackinarticles

CTF والتحديات

  1. InsecureShopApp: https://www.insecureshopapp.com جيثب: https://github.com/hax0rgb/InsecureShop

  2. Allsafe

  3. InjuredAndroid

  4. إتش بي أندرو1337

  5. KGB_Messenger

  • المزيد عن تحديات CTF للهواتف المحمولة التي تعمل بنظام Android: Awesome-Mobile-CTF

قنوات التليجرام

  • Android-الأمان والبرامج الضارة

دورة تدريبية مكثفة حول أمان Android

يوتيوب

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل