Architecture Android
Introduction au pentesting mobile
Vidéos Youtube en anglais :
BitsS'il vous plaît
Apprenants initiés
Piratage simplifié
Vidéos Youtube en hindi :
Fortifier les solutions
Ubayd Ahmed
Éléments internes de sécurité Android Un guide détaillé de l'architecture de sécurité d'Android
Apprendre le Pentesting pour les appareils Android Un guide pratique
Attaques et défenses de sécurité Android
Contournement de l'épinglage SSL Android
Test-Frida
Test-Drozer
Aide-mémoire de commande ADB
Analyse automatisée à l'aide de MobSF
Tests-Webview-Attaques
Exploitation des liens profonds
https://apk-dl.com/
https://fr.uptodown.com/
https://fr.aptoide.com/
https://www.apkmirror.com/
https://f-droid.org/fr/
https://fr.softonic.com/
https://androidapksfree.com/
Appie
Appie Framework est un framework open source populaire utilisé pour les tests d'intrusion des applications Android. Il fournit un environnement complet et autonome spécialement conçu pour faciliter les tests des applications Android.
Ce référentiel fournit un guide complet sur la façon d'utiliser l'outil Objection pour les tests de sécurité mobile. Objection est une boîte à outils d'exploration mobile d'exécution, optimisée par Frida, conçue pour aider les testeurs d'intrusion à évaluer la sécurité des applications mobiles sans nécessiter de jailbreak ou d'accès root.
Introduction
Caractéristiques
Installation
Conditions préalables
Installation d'Objection
Utilisation de base
Objection de départ
Commandes communes
Utilisation avancée
Contourner l'épinglage SSL
Interagir avec le système de fichiers
Manipulation des données d'application
Dépannage
Contribuer
Licence
Objection est un outil puissant qui permet aux chercheurs en sécurité d'explorer et de tester la sécurité des applications mobiles au moment de l'exécution. Il fournit une interface facile à utiliser pour des tâches telles que le contournement de l'épinglage SSL, la manipulation des données d'application, l'exploration du système de fichiers et bien plus encore. Objection est particulièrement utile car il fonctionne sur les appareils Android et iOS sans avoir besoin de root ou de jailbreak.
Contourner l'épinglage SSL : désactivez facilement l'épinglage SSL dans les applications mobiles pour intercepter le trafic réseau.
Exploration du système de fichiers : accédez et manipulez le système de fichiers de l'application mobile au moment de l'exécution.
Manipulation d'exécution : modifiez le comportement et les données de l'application pendant son exécution.
Multiplateforme : prend en charge les appareils Android et iOS.
Avant d'installer Objection, assurez-vous que les éléments suivants sont installés sur votre système :
Python 3.x : Objection est un outil basé sur Python et nécessite Python 3.x pour s'exécuter.
Frida : Objeko utilise Frida sous le capot. Vous pouvez installer Frida en utilisant pip :
pip installer frida-tools
ADB (Android Debug Bridge) : requis pour interagir avec les appareils Android.
Vous pouvez installer Objection en utilisant pip :
objection à l'installation de pip
Après l'installation, vérifiez qu'Objection est correctement installé en exécutant :
objection --aide
Pour commencer à utiliser Objection avec une application mobile, assurez-vous d’abord que l’application est en cours d’exécution sur l’appareil. Ensuite, lancez Objection à l'aide de la commande suivante :
objection -g <app_package_name> explorer
Remplacez <app_package_name> par le nom réel du package de l'application mobile (par exemple, com.example.app ).
Contourner l'épinglage SSL :
désactiver le sslpinning sur Android
Cette commande désactive l'épinglage SSL, vous permettant d'intercepter le trafic HTTPS.
Explorez le système de fichiers :
android fsls /
Répertorie les fichiers et répertoires dans le répertoire racine du système de fichiers de l'application.
Vidage des bases de données SQLite :
liste SQLite Android dump Android SQLite <nom_base de données>
Répertorie et vide le contenu des bases de données SQLite utilisées par l'application.
Inspection du trousseau/préférences partagées :
liste des préférences Android vidage du trousseau iOS
Répertorie et sauvegarde les préférences partagées sur Android ou les données du trousseau sur iOS.
Objection permet de contourner facilement l'épinglage SSL dans les applications mobiles, ce qui est utile pour intercepter et analyser le trafic HTTPS lors des évaluations de sécurité. Utilisez simplement la commande suivante :
désactiver le sslpinning sur Android
Vous pouvez explorer et manipuler le système de fichiers de l'application directement depuis la ligne de commande Objection :
Liste des fichiers :
android fs ls /data/data/com.example.app/files/
Télécharger un fichier :
téléchargement android fs /data/data/com.example.app/files/secret.txt
Objection vous permet de modifier les données utilisées par l'application au moment de l'exécution :
Changer la valeur d'une variable :
ensemble d'accrochage Android class_variable com.example.app.ClassName variableName newValue
Déclencher une Fonction :
appel d'accrochage Android com.example.app.ClassName nom de méthode arg1, arg2
Objection non connectée : assurez-vous que votre appareil est correctement connecté via USB et qu'ADB est exécuté pour les appareils Android. Pour iOS, assurez-vous que Frida est correctement installé sur l'appareil.
Épinglage SSL non désactivé : certaines applications peuvent implémenter l'épinglage SSL d'une manière qui résiste à la méthode de contournement par défaut d'Objection. Dans de tels cas, vous devrez peut-être utiliser des scripts Frida personnalisés.
classeur.securityboat.in
livre.hacktricks.xyz
blog.softwaroid.com
xmind.app
hackinarticles
InsecureShopApp : https://www.insecureshopapp.com GitHub : https://github.com/hax0rgb/InsecureShop
Allsafe
BlesséAndroid
HpAndro1337
KGB_Messenger
En savoir plus sur les défis CTF mobiles Android : Awesome-Mobile-CTF
Sécurité Android et logiciels malveillants
YouTube
