Android-архитектура
Введение в мобильное пентестирование
Видео на YouTube на английском языке:
БитыПожалуйста
Инсайдерские учащиеся
Взлом упрощен
Видео Youtube на хинди:
Укрепить решения
Убайд Ахмед
Внутренние устройства безопасности Android. Подробное руководство по архитектуре безопасности Android.
Обучение пентестированию для устройств Android. Практическое руководство.
Атаки и защита Android на безопасность
Обход закрепления SSL в Android
Тестирование-Фрида
Тестирование-Дрозер
ADB-Команда-Шпаргалка
Автоматизированный анализ с использованием MobSF
Тестирование-Webview-Атаки
Эксплуатация глубоких ссылок
https://apk-dl.com/
https://en.uptodown.com/
https://en.aptoide.com/
https://www.apkmirror.com/
https://f-droid.org/en/
https://en.softonic.com/
https://androidapksfree.com/
Аппи
Appie Framework — популярная платформа с открытым исходным кодом, используемая для тестирования на проникновение приложений Android. Он предоставляет комплексную автономную среду, специально разработанную для облегчения тестирования приложений Android.
В этом репозитории представлено подробное руководство по использованию инструмента Objection для тестирования мобильной безопасности. Objection — это набор инструментов для исследования мобильных устройств во время выполнения, созданный на базе Frida и предназначенный для того, чтобы помочь тестерам на проникновение оценить безопасность мобильных приложений, не требуя джейлбрейка или root-доступа.
Введение
Функции
Установка
Предварительные условия
Установка возражения
Основное использование
Начало возражения
Общие команды
Расширенное использование
Обход закрепления SSL
Взаимодействие с файловой системой
Манипулирование данными приложения
Поиск неисправностей
Содействие
Лицензия
Objection — это мощный инструмент, который позволяет исследователям безопасности исследовать и тестировать безопасность мобильных приложений во время выполнения. Он предоставляет простой в использовании интерфейс для таких задач, как обход закрепления SSL, манипулирование данными приложений, исследование файловой системы и многое другое. Objection особенно полезен, поскольку он работает как на устройствах Android, так и на iOS без необходимости рутирования или джейлбрейка.
Обход закрепления SSL : легко отключите закрепление SSL в мобильных приложениях для перехвата сетевого трафика.
Исследование файловой системы : доступ к файловой системе мобильного приложения и управление ею во время выполнения.
Манипулирование во время выполнения : изменение поведения и данных приложения во время его работы.
Кроссплатформенность : поддерживает устройства Android и iOS.
Перед установкой Objection убедитесь, что в вашей системе установлены следующие компоненты:
Python 3.x : Objection — это инструмент на основе Python, для запуска которого требуется Python 3.x.
Фрида : Возражение использует Фриду под капотом. Вы можете установить Фриду с помощью pip:
pip install frida-tools
ADB (Android Debug Bridge) : требуется для взаимодействия с устройствами Android.
Вы можете установить Objection с помощью pip:
возражение против установки pip
После установки убедитесь, что Objection установлен правильно, выполнив:
возражение --help
Чтобы начать использовать Objection с мобильным приложением, сначала убедитесь, что приложение запущено на устройстве. Затем запустите Objection, используя следующую команду:
возражение -g <имя_пакета_приложения> изучить
Замените <app_package_name> фактическим именем пакета мобильного приложения (например, com.example.app ).
Обход закрепления SSL :
Android отключить sslpinning
Эта команда отключает закрепление SSL, позволяя перехватывать HTTPS-трафик.
Изучите файловую систему :
Android ФС ЛС /
Перечисляет файлы и каталоги в корневом каталоге файловой системы приложения.
Сброс баз данных SQLite :
Список SQLite для Android дамп Android sqlite <имя_базы_данных>
Перечисляет и выводит содержимое баз данных SQLite, используемых приложением.
Проверка цепочки ключей/общих настроек :
список настроек Android дамп связки ключей iOS
Перечисляет и сохраняет общие настройки на Android или данные связки ключей на iOS.
Objection позволяет легко обойти закрепление SSL в мобильных приложениях, что полезно для перехвата и анализа HTTPS-трафика во время оценок безопасности. Просто используйте следующую команду:
Android отключить sslpinning
Вы можете исследовать файловую систему приложения и управлять ею непосредственно из командной строки Objection:
Список файлов :
Android fs ls /data/data/com.example.app/files/
Скачать файл :
android fs скачать /data/data/com.example.app/files/secret.txt
Возражение позволяет вам изменять данные, используемые приложением во время выполнения:
Измените значение переменной :
набор перехватов Android class_variable com.example.app.ClassName имя переменной newValue
Запустить функцию :
вызов перехвата Android com.example.app.ClassName имя метода arg1,arg2
Возражение не связано с подключением : убедитесь, что ваше устройство правильно подключено через USB и что ADB работает на устройствах Android. Для iOS убедитесь, что Frida правильно установлена на устройстве.
Закрепление SSL не отключено . Некоторые приложения могут реализовывать закрепление SSL способами, устойчивыми к методу обхода Objection по умолчанию. В таких случаях вам может потребоваться использовать собственные скрипты Frida.
рабочая книга.securityboat.in
book.hacktricks.xyz
blog.softwaroid.com
xmind.app
хакинстатьи
InsecureShopApp: https://www.insecureshopapp.com GitHub: https://github.com/hax0rgb/InsecureShop
Allsafe
РаненыйAndroid
HpАндро1337
КГБ_Мессенджер
Подробнее о вызовах CTF для мобильных устройств на Android: Awesome-Mobile-CTF
Android-Безопасность и вредоносное ПО
Ютуб
