Arquitectura Android
Introducción al pentesting móvil
Vídeos de Youtube en inglés:
BitsPor favor
Estudiantes internos
Hackear simplificado
Vídeos de Youtube en hindi:
Fortificar soluciones
Ahmed Ubaid
Aspectos internos de seguridad de Android Una guía detallada sobre la arquitectura de seguridad de Android
Aprender Pentesting para dispositivos Android Una guía práctica
Ataques y defensas de seguridad de Android
Omisión de fijación SSL de Android
Prueba-Frida
Drozer de pruebas
Hoja de trucos de comando ADB
Análisis-automatizado-usando-MobSF
Pruebas-Webview-Ataques
Explotación de enlaces profundos
https://apk-dl.com/
https://es.uptodown.com/
https://es.aptoide.com/
https://www.apkmirror.com/
https://f-droid.org/es/
https://es.softonic.com/
https://androidapksfree.com/
Aplica
Appie Framework es un marco popular de código abierto que se utiliza para pruebas de penetración de aplicaciones de Android. Proporciona un entorno completo y autónomo diseñado específicamente para facilitar las pruebas de aplicaciones de Android.
Este repositorio proporciona una guía completa sobre cómo utilizar la herramienta Objeción para pruebas de seguridad móvil. Objection es un conjunto de herramientas de exploración móvil en tiempo de ejecución, impulsado por Frida, diseñado para ayudar a los evaluadores de penetración a evaluar la seguridad de las aplicaciones móviles sin necesidad de jailbreak o acceso root.
Introducción
Características
Instalación
Requisitos previos
Instalación de objeción
Uso básico
Objeción inicial
Comandos comunes
Uso avanzado
Omitir la fijación SSL
Interactuar con el sistema de archivos
Manipulación de datos de la aplicación
Solución de problemas
Contribuyendo
Licencia
Objection es una poderosa herramienta que permite a los investigadores de seguridad explorar y probar la seguridad de las aplicaciones móviles en tiempo de ejecución. Proporciona una interfaz fácil de usar para tareas como omitir la fijación de SSL, manipular datos de aplicaciones, explorar el sistema de archivos y mucho más. Objetion es particularmente útil porque funciona tanto en dispositivos Android como iOS sin necesidad de root o jailbreak.
Omitir la fijación de SSL : deshabilite fácilmente la fijación de SSL en aplicaciones móviles para interceptar el tráfico de red.
Exploración del sistema de archivos : acceda y manipule el sistema de archivos de la aplicación móvil en tiempo de ejecución.
Manipulación en tiempo de ejecución : modifique el comportamiento y los datos de la aplicación mientras la aplicación se está ejecutando.
Multiplataforma : admite dispositivos Android e iOS.
Antes de instalar Objection, asegúrese de tener lo siguiente instalado en su sistema:
Python 3.x : Objection es una herramienta basada en Python y requiere Python 3.x para ejecutarse.
Frida : La objeción usa a Frida bajo el capó. Puedes instalar Frida usando pip:
instalación de pip herramientas-frida
ADB (Android Debug Bridge) : necesario para interactuar con dispositivos Android.
Puedes instalar Objeción usando pip:
objeción de instalación de pip
Después de la instalación, verifique que Objection esté instalado correctamente ejecutando:
objeción --ayuda
Para comenzar a usar Objection con una aplicación móvil, primero asegúrese de que la aplicación se esté ejecutando en el dispositivo. Luego, inicie Objeción usando el siguiente comando:
objeción -gexplorar
Reemplace com.example.app ).
Omitir fijación SSL :
Desactivar sslpinning de Android
Este comando deshabilita la fijación de SSL, lo que le permite interceptar el tráfico HTTPS.
Explora el sistema de archivos :
android fs ls /
Enumera los archivos y directorios en el directorio raíz del sistema de archivos de la aplicación.
Volcado de bases de datos SQLite :
lista de sqlite de Android volcado de sqlite de Android
Enumera y vuelca el contenido de las bases de datos SQLite utilizadas por la aplicación.
Inspeccionando llavero/preferencias compartidas :
lista de preferencias de Android volcado de llaveros de ios
Enumera y vuelca preferencias compartidas en Android o datos de llavero en iOS.
La objeción facilita eludir la fijación de SSL en aplicaciones móviles, lo que resulta útil para interceptar y analizar el tráfico HTTPS durante las evaluaciones de seguridad. Simplemente use el siguiente comando:
Android sslpinning deshabilitar
Puede explorar y manipular el sistema de archivos de la aplicación directamente desde la línea de comando de Objeción:
Listar archivos :
android fs ls /data/data/com.example.app/files/
Descargar un archivo :
descargar android fs /data/data/com.example.app/files/secret.txt
La objeción le permite modificar los datos utilizados por la aplicación en tiempo de ejecución:
Cambiar el valor de una variable :
conjunto de enlaces de Android class_variable com.example.app.ClassName nombre de variable newValue
Activar una función :
llamada de enlace de Android com.example.app.ClassName nombre del método arg1, arg2
Objeción que no se conecta : asegúrese de que su dispositivo esté conectado correctamente a través de USB y que ADB se esté ejecutando para dispositivos Android. Para iOS, asegúrese de que Frida esté instalada correctamente en el dispositivo.
Fijación de SSL no deshabilitada : algunas aplicaciones pueden implementar la fijación de SSL de manera resistente al método de omisión predeterminado de Objeción. En tales casos, es posible que necesites utilizar scripts personalizados de Frida.
libro de trabajo.securityboat.in
libro.hacktricks.xyz
blog.softwaroid.com
xmind.aplicación
hackinartículos
Aplicación InsecureShop: https://www.insecureshopapp.com GitHub: https://github.com/hax0rgb/InsecureShop
Todo seguro
Androide herido
HpAndro1337
KGB_Mensajero
Más sobre los desafíos CTF móviles de Android: Awesome-Mobile-CTF
Android-Seguridad y malware
YouTube
