Android Applications Pentesting
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!
Hacking Insights Engage with content that delves into the thrill and challenges of hacking
Real-Time Hack News Keep up-to-date with fast-paced hacking world through real-time news and insights
Latest Announcements Stay informed with the newest bug bounties launching and crucial platform updates
Join us on Discord and start collaborating with top hackers today!
यह पृष्ठ पढ़ना अत्यधिक अनुशंसित है ताकि आप Android सुरक्षा से संबंधित सबसे महत्वपूर्ण भागों और एक Android एप्लिकेशन में सबसे खतरनाक घटकों के बारे में जान सकें:
Android Applications Basicsयह मुख्य उपकरण है जिसकी आपको एक एंड्रॉइड डिवाइस (अनुकरणीय या भौतिक) से कनेक्ट करने की आवश्यकता है। ADB आपको USB या Network के माध्यम से कंप्यूटर से उपकरणों को नियंत्रित करने की अनुमति देता है। यह उपयोगिता फाइलों की दोनों दिशाओं में कॉपी करने, ऐप्स की स्थापना और अनइंस्टॉलेशन, शेल कमांडों का निष्पादन, डेटा का बैकअप, लॉग का पढ़ना, और अन्य कार्यों को सक्षम बनाती है।
ADB का उपयोग कैसे करें, यह जानने के लिए ADB Commands की निम्नलिखित सूची पर एक नज़र डालें।
कभी-कभी छिपी हुई जानकारी (शायद अच्छी तरह से छिपे हुए पासवर्ड या फ्लैग) तक पहुँचने के लिए एप्लिकेशन कोड को संशोधित करना दिलचस्प होता है। फिर, APK को डिकंपाइल करना, कोड को संशोधित करना और इसे फिर से संकलित करना दिलचस्प हो सकता है। इस ट्यूटोरियल में आप APK को डिकंपाइल करना, Smali कोड को संशोधित करना और नए कार्यक्षमता के साथ APK को फिर से संकलित करना सीख सकते हैं। यह गतिशील विश्लेषण के दौरान कई परीक्षणों के लिए एक वैकल्पिक के रूप में बहुत उपयोगी हो सकता है जो प्रस्तुत किए जाने वाले हैं। फिर, इस संभावना को हमेशा ध्यान में रखें।
Extract APK from device:
सभी स्प्लिट और बेस एपीके को APKEditor के साथ मिलाएं:
सबसे पहले, एक APK का विश्लेषण करने के लिए आपको decompiler का उपयोग करके Java कोड पर नज़र डालनी चाहिए। कृपया, विभिन्न उपलब्ध decompilers के बारे में जानकारी के लिए यहाँ पढ़ें.
APK के strings पर नज़र डालकर आप passwords, URLs (https://github.com/ndelphit/apkurlgrep), api keys, encryption, bluetooth uuids, tokens और कुछ भी दिलचस्प खोज सकते हैं... यहां तक कि कोड निष्पादन backdoors या प्रमाणीकरण backdoors (ऐप के लिए हार्डकोडेड व्यवस्थापक क्रेडेंशियल) के लिए भी देखें।
Firebase
firebase URLs पर विशेष ध्यान दें और जांचें कि क्या यह गलत तरीके से कॉन्फ़िगर किया गया है। यहाँ FIrebase के बारे में और जानकारी और इसे कैसे शोषण करें।
एक एप्लिकेशन के _Manifest.xml** और **strings.xml_** फ़ाइलों की जांच संभावित सुरक्षा कमजोरियों को उजागर कर सकती है। इन फ़ाइलों को decompilers का उपयोग करके या APK फ़ाइल एक्सटेंशन को .zip में बदलकर और फिर इसे अनज़िप करके एक्सेस किया जा सकता है।
Manifest.xml से पहचानी गई Vulnerabilities में शामिल हैं:
Debuggable Applications: Manifest.xml फ़ाइल में debuggable="true"
के रूप में सेट की गई एप्लिकेशन जोखिम में होती हैं क्योंकि वे ऐसे कनेक्शन की अनुमति देती हैं जो शोषण की ओर ले जा सकते हैं। डिबग करने योग्य एप्लिकेशन को शोषित करने के तरीके को समझने के लिए, डिवाइस पर डिबग करने योग्य एप्लिकेशन को खोजने और शोषित करने पर एक ट्यूटोरियल देखें।
Backup Settings: संवेदनशील जानकारी से निपटने वाले एप्लिकेशनों के लिए android:allowBackup="false"
विशेष रूप से सेट किया जाना चाहिए ताकि adb के माध्यम से अनधिकृत डेटा बैकअप को रोका जा सके, विशेष रूप से जब usb debugging सक्षम हो।
Network Security: res/xml/ में कस्टम नेटवर्क सुरक्षा कॉन्फ़िगरेशन (android:networkSecurityConfig="@xml/network_security_config"
) सुरक्षा विवरण जैसे प्रमाणपत्र पिन और HTTP ट्रैफ़िक सेटिंग्स को निर्दिष्ट कर सकते हैं। एक उदाहरण विशेष डोमेन के लिए HTTP ट्रैफ़िक की अनुमति देना है।
Exported Activities and Services: मैनिफेस्ट में निर्यातित गतिविधियों और सेवाओं की पहचान करना उन घटकों को उजागर कर सकता है जो दुरुपयोग के लिए संवेदनशील हो सकते हैं। गतिशील परीक्षण के दौरान आगे के विश्लेषण से यह पता चल सकता है कि इन घटकों का शोषण कैसे किया जाए।
Content Providers and FileProviders: उजागर सामग्री प्रदाता अनधिकृत पहुंच या डेटा में संशोधन की अनुमति दे सकते हैं। FileProviders की कॉन्फ़िगरेशन की भी जांच की जानी चाहिए।
Broadcast Receivers and URL Schemes: ये घटक शोषण के लिए उपयोग किए जा सकते हैं, विशेष रूप से इनपुट कमजोरियों के लिए URL योजनाओं के प्रबंधन के तरीके पर ध्यान देने के साथ।
SDK Versions: minSdkVersion
, targetSDKVersion
, और maxSdkVersion
विशेषताएँ समर्थित Android संस्करणों को इंगित करती हैं, सुरक्षा कारणों से पुराने, कमजोर Android संस्करणों का समर्थन न करने के महत्व को उजागर करती हैं।
strings.xml फ़ाइल से, संवेदनशील जानकारी जैसे API keys, कस्टम स्कीमा, और अन्य डेवलपर नोट्स का पता लगाया जा सकता है, जो इन संसाधनों की सावधानीपूर्वक समीक्षा की आवश्यकता को उजागर करता है।
Tapjacking एक हमला है जहां एक malicious application लॉन्च किया जाता है और एक पीड़ित एप्लिकेशन के ऊपर खुद को स्थिति में रखता है। जब यह स्पष्ट रूप से पीड़ित ऐप को अस्पष्ट करता है, तो इसका उपयोगकर्ता इंटरफ़ेस इस तरह से डिज़ाइन किया गया है कि उपयोगकर्ता को इसके साथ बातचीत करने के लिए धोखा दिया जा सके, जबकि यह बातचीत को पीड़ित ऐप को पास कर रहा है। प्रभाव में, यह उपयोगकर्ता को यह जानने से अंधा कर रहा है कि वे वास्तव में पीड़ित ऐप पर क्रियाएँ कर रहे हैं।
अधिक जानकारी के लिए देखें:
Tapjackingएक activity जिसमें launchMode
singleTask
पर सेट है बिना किसी taskAffinity
के परिभाषित किए, कार्य हाइजैकिंग के लिए संवेदनशील है। इसका मतलब है कि एक application स्थापित की जा सकती है और यदि इसे वास्तविक एप्लिकेशन से पहले लॉन्च किया जाता है तो यह वास्तविक एप्लिकेशन के कार्य को हाइजैक कर सकती है (इसलिए उपयोगकर्ता malicious application के साथ बातचीत कर रहा होगा यह सोचते हुए कि वह असली का उपयोग कर रहा है)।
अधिक जानकारी के लिए देखें:
Android Task HijackingInternal Storage
Android में, फ़ाइलें internal storage में stored की जाती हैं ताकि वे केवल उस app द्वारा access की जा सकें जिसने उन्हें created किया है। यह सुरक्षा उपाय Android ऑपरेटिंग सिस्टम द्वारा enforced किया गया है और सामान्यतः अधिकांश एप्लिकेशनों की सुरक्षा आवश्यकताओं के लिए पर्याप्त है। हालाँकि, डेवलपर्स कभी-कभी MODE_WORLD_READABLE
और MODE_WORLD_WRITABLE
जैसे मोड का उपयोग करते हैं ताकि फ़ाइलों को विभिन्न एप्लिकेशनों के बीच shared किया जा सके। फिर भी, ये मोड अन्य एप्लिकेशनों द्वारा इन फ़ाइलों तक पहुंच को restrict नहीं करते हैं, जिसमें संभावित रूप से malicious एप्लिकेशन भी शामिल हैं।
Static Analysis:
Ensure करें कि MODE_WORLD_READABLE
और MODE_WORLD_WRITABLE
का उपयोग carefully scrutinized किया गया है। ये मोड फ़ाइलों को unintended or unauthorized access के लिए potentially expose कर सकते हैं।
Dynamic Analysis:
ऐप द्वारा बनाई गई फ़ाइलों पर सेट की गई permissions की verify करें। विशेष रूप से, check करें कि क्या कोई फ़ाइलें विश्व स्तर पर पढ़ने या लिखने के लिए सेट की गई हैं। यह एक महत्वपूर्ण सुरक्षा जोखिम पैदा कर सकता है, क्योंकि यह किसी भी एप्लिकेशन को जो डिवाइस पर स्थापित है, उसकी उत्पत्ति या इरादे की परवाह किए बिना, इन फ़ाइलों को read or modify करने की अनुमति देगा।
External Storage
External storage पर फ़ाइलों के साथ काम करते समय, कुछ सावधानियाँ बरतनी चाहिए:
Accessibility:
बाहरी संग्रहण पर फ़ाइलें globally readable and writable होती हैं। इसका मतलब है कि कोई भी एप्लिकेशन या उपयोगकर्ता इन फ़ाइलों तक पहुंच सकता है।
Security Concerns:
पहुंच की आसानी को देखते हुए, सलाह दी जाती है कि संवेदनशील जानकारी को बाहरी संग्रहण पर न रखें।
बाहरी संग्रहण को किसी भी एप्लिकेशन द्वारा हटाया या एक्सेस किया जा सकता है, जिससे यह कम सुरक्षित हो जाता है।
Handling Data from External Storage:
हमेशा बाहरी संग्रहण से प्राप्त डेटा पर input validation करें। यह महत्वपूर्ण है क्योंकि डेटा एक अविश्वसनीय स्रोत से है।
बाहरी संग्रहण पर executables या class फ़ाइलों को गतिशील लोडिंग के लिए रखना दृढ़ता से हतोत्साहित किया जाता है।
यदि आपके एप्लिकेशन को बाहरी संग्रहण से executable फ़ाइलें प्राप्त करनी हैं, तो सुनिश्चित करें कि ये फ़ाइलें signed and cryptographically verified हैं इससे पहले कि उन्हें गतिशील रूप से लोड किया जाए। यह आपके एप्लिकेशन की सुरक्षा अखंडता बनाए रखने के लिए महत्वपूर्ण है।
बाहरी संग्रहण को /storage/emulated/0
, /sdcard
, /mnt/sdcard
में access किया जा सकता है।
Android 4.4 (API 17) से शुरू होकर, SD कार्ड में एक निर्देशिका संरचना है जो एक ऐप से उस ऐप के लिए विशेष रूप से निर्देशिका तक पहुंच को सीमित करती है। यह malicious एप्लिकेशन को किसी अन्य ऐप की फ़ाइलों तक पढ़ने या लिखने की पहुंच प्राप्त करने से रोकता है।
Sensitive data stored in clear-text
Shared preferences: Android प्रत्येक एप्लिकेशन को /data/data/<packagename>/shared_prefs/
पथ में xml फ़ाइलें आसानी से सहेजने की अनुमति देता है और कभी-कभी उस फ़ोल्डर में स्पष्ट पाठ में संवेदनशील जानकारी मिल सकती है।
Databases: Android प्रत्येक एप्लिकेशन को /data/data/<packagename>/databases/
पथ में sqlite डेटाबेस को आसानी से सहेजने की अनुमति देता है और कभी-कभी उस फ़ोल्डर में स्पष्ट पाठ में संवेदनशील जानकारी मिल सकती है।
Accept All Certificates
किसी कारण से कभी-कभी डेवलपर्स सभी प्रमाणपत्रों को स्वीकार करते हैं भले ही उदाहरण के लिए होस्टनाम कोड की निम्नलिखित पंक्तियों के साथ मेल न खाता हो:
A good way to test this is to try to capture the traffic using some proxy like Burp without authorising Burp CA inside the device. Also, you can generate with Burp a certificate for a different hostname and use it.
Poor Key Management Processes
कुछ डेवलपर्स संवेदनशील डेटा को स्थानीय स्टोरेज में सहेजते हैं और इसे कोड में हार्डकोडेड/पूर्वानुमानित कुंजी के साथ एन्क्रिप्ट करते हैं। ऐसा नहीं किया जाना चाहिए क्योंकि कुछ रिवर्सिंग हमलावरों को गोपनीय जानकारी निकालने की अनुमति दे सकती है।
Use of Insecure and/or Deprecated Algorithms
डेवलपर्स को deprecated algorithms का उपयोग करके प्राधिकरण checks, store या send डेटा नहीं करना चाहिए। इनमें से कुछ एल्गोरिदम हैं: RC4, MD4, MD5, SHA1... यदि hashes का उपयोग पासवर्ड को स्टोर करने के लिए किया जाता है, तो उदाहरण के लिए, salt के साथ brute-force resistant hashes का उपयोग किया जाना चाहिए।
यह अनुशंसा की जाती है कि APK को obfuscate करें ताकि हमलावरों के लिए रिवर्स इंजीनियरिंग का काम कठिन हो जाए।
यदि ऐप संवेदनशील है (जैसे बैंक ऐप), तो इसे देखना चाहिए कि मोबाइल रूटेड है या नहीं और इसके अनुसार कार्य करना चाहिए।
यदि ऐप संवेदनशील है (जैसे बैंक ऐप), तो इसे देखना चाहिए कि क्या emulator का उपयोग किया जा रहा है।
यदि ऐप संवेदनशील है (जैसे बैंक ऐप), तो इसे execute करने से पहले अपनी अखंडता की जांच करनी चाहिए कि क्या इसे संशोधित किया गया है।
APKiD का उपयोग करें यह जांचने के लिए कि APK बनाने के लिए कौन सा compiler/packer/obfuscator का उपयोग किया गया था।
Read the following page to learn how to easily access javascript code of React applications:
React Native ApplicationRead the following page to learn how to easily access C# code of a xamarin applications:
Xamarin AppsAccording to this blog post superpacked is a Meta algorithm that compress the content of an application into a single file. The blog talks about the possibility of creating an app that decompress these kind of apps... and a faster way which involves to execute the application and gather the decompressed files from the filesystem.
The tool mariana-trench is capable of finding vulnerabilities by scanning the code of the application. This tool contains a series of known sources (that indicates to the tool the places where the input is controlled by the user), sinks (which indicates to the tool dangerous places where malicious user input could cause damages) and rules. These rules indicates the combination of sources-sinks that indicates a vulnerability.
With this knowledge, mariana-trench will review the code and find possible vulnerabilities on it.
An application may contain secrets (API keys, passwords, hidden urls, subdomains...) inside of it that you might be able to discover. You could us a tool such as https://github.com/dwisiswant0/apkleaks
Code execution: Runtime.exec(), ProcessBuilder(), native code:system()
Send SMSs: sendTextMessage, sendMultipartTestMessage
Native functions declared as native
: public native, System.loadLibrary, System.load
Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!
Hacking Insights Engage with content that delves into the thrill and challenges of hacking
Real-Time Hack News Keep up-to-date with fast-paced hacking world through real-time news and insights
Latest Announcements Stay informed with the newest bug bounties launching and crucial platform updates
Join us on Discord and start collaborating with top hackers today!
First of all, you need an environment where you can install the application and all the environment (Burp CA cert, Drozer and Frida mainly). Therefore, a rooted device (emulated or not) is extremely recommended.
You can create a free account in: https://appetize.io/. This platform allows you to upload and execute APKs, so it is useful to see how an apk is behaving.
You can even see the logs of your application in the web and connect through adb.
Thanks to the ADB connection you can use Drozer and Frida inside the emulators.
Android Studio (You can create x86 and arm devices, and according to this latest x86 versions support ARM libraries without needing an slow arm emulator).
Learn to set it up in this page:
Genymotion (Free version: Personal Edition, you need to create an account. It's recommend to download the version WITH VirtualBox to avoid potential errors.)
Nox (Free, but it doesn't support Frida or Drozer).
When creating a new emulator on any platform remember that the bigger the screen is, the slower the emulator will run. So select small screens if possible.
To install google services (like AppStore) in Genymotion you need to click on the red marked button of the following image:
Also, notice that in the configuration of the Android VM in Genymotion you can select Bridge Network mode (this will be useful if you will be connecting to the Android VM from a different VM with the tools).
You need to activate the debugging options and it will be cool if you can root it:
Settings.
(FromAndroid 8.0) Select System.
Select About phone.
Press Build number 7 times.
Go back and you will find the Developer options.
Once you have installed the application, the first thing you should do is to try it and investigate what does it do, how does it work and get comfortable with it. I will suggest to perform this initial dynamic analysis using MobSF dynamic analysis + pidcat, so we will be able to learn how the application works while MobSF captures a lot of interesting data you can review later on.
Logging
डेवलपर्स को debugging information को सार्वजनिक रूप से उजागर करने के प्रति सतर्क रहना चाहिए, क्योंकि इससे संवेदनशील डेटा लीक हो सकता है। एप्लिकेशन लॉग की निगरानी के लिए pidcat और adb logcat
उपकरणों की सिफारिश की जाती है ताकि संवेदनशील जानकारी की पहचान और सुरक्षा की जा सके। Pidcat को इसके उपयोग में आसानी और पठनीयता के लिए पसंद किया जाता है।
Note that from later newer than Android 4.0, applications are only able to access their own logs. So applications cannot access other apps logs. Anyway, it's still recommended to not log sensitive information.
Copy/Paste Buffer Caching
Android का clipboard-based ढांचा ऐप्स में कॉपी-पेस्ट कार्यक्षमता को सक्षम करता है, फिर भी यह एक जोखिम प्रस्तुत करता है क्योंकि अन्य एप्लिकेशन क्लिपबोर्ड को access कर सकते हैं, जिससे संवेदनशील डेटा उजागर हो सकता है। संवेदनशील अनुभागों के लिए copy/paste कार्यों को अक्षम करना महत्वपूर्ण है, जैसे कि क्रेडिट कार्ड विवरण, डेटा लीक को रोकने के लिए।
Crash Logs
यदि एक एप्लिकेशन crash होता है और logs सहेजता है, तो ये लॉग हमलावरों की मदद कर सकते हैं, विशेष रूप से जब एप्लिकेशन को रिवर्स-इंजीनियर नहीं किया जा सकता है। इस जोखिम को कम करने के लिए, क्रैश पर लॉगिंग से बचें, और यदि लॉग को नेटवर्क के माध्यम से भेजा जाना चाहिए, तो सुनिश्चित करें कि उन्हें सुरक्षा के लिए SSL चैनल के माध्यम से भेजा जाए।
As pentester, try to take a look to these logs.
Analytics Data Sent To 3rd Parties
Applications often integrate services like Google Adsense, which can inadvertently leak sensitive data due to improper implementation by developers. To identify potential data leaks, it's advisable to intercept the application's traffic and check for any sensitive information being sent to third-party services.
Most of the applications will use internal SQLite databases to save information. During the pentest take a look to the databases created, the names of tables and columns and all the data saved because you could find sensitive information (which would be a vulnerability).
Databases should be located in /data/data/the.package.name/databases
like /data/data/com.mwr.example.sieve/databases
If the database is saving confidential information and is encrypted but you can find the password inside the application it's still a vulnerability.
Enumerate the tables using .tables
and enumerate the columns of the tables doing .schema <table_name>
From Drozer Docs: Drozer allows you to assume the role of an Android app and interact with other apps. It can do anything that an installed application can do, such as make use of Android’s Inter-Process Communication (IPC) mechanism and interact with the underlying operating system. . Drozer is s useful tool to exploit exported activities, exported services and Content Providers as you will learn in the following sections.
Read this if you want to refresh what is an Android Activity.
Also remember that the code of an activity starts in the onCreate
method.
Authorisation bypass
When an Activity is exported you can invoke its screen from an external app. Therefore, if an activity with sensitive information is exported you could bypass the authentication mechanisms to access it.
Learn how to exploit exported activities with Drozer.
You can also start an exported activity from adb:
PackageName is com.example.demo
Exported ActivityName is com.example.test.MainActivity
नोट: MobSF singleTask/singleInstance के उपयोग को android:launchMode
में एक गतिविधि के रूप में दुर्भावनापूर्ण के रूप में पहचानता है, लेकिन इस के कारण, यह स्पष्ट रूप से केवल पुराने संस्करणों (API संस्करण < 21) पर खतरनाक है।
ध्यान दें कि एक प्राधिकरण बाईपास हमेशा एक कमजोरियों नहीं होती, यह इस पर निर्भर करेगा कि बाईपास कैसे काम करता है और कौन सी जानकारी उजागर होती है।
संवेदनशील जानकारी का रिसाव
गतिविधियाँ भी परिणाम लौटा सकती हैं। यदि आप एक निर्यातित और अप्रोटेक्टेड गतिविधि को खोजने में सफल होते हैं जो setResult
विधि को कॉल करती है और संवेदनशील जानकारी लौटाती है, तो यह संवेदनशील जानकारी का रिसाव है।
यदि टैपजैकिंग को रोका नहीं गया, तो आप निर्यातित गतिविधि का दुरुपयोग कर सकते हैं ताकि उपयोगकर्ता अप्रत्याशित क्रियाएँ कर सके। टैपजैकिंग क्या है, इसके बारे में अधिक जानकारी के लिए लिंक का पालन करें।
यदि आप सामग्री प्रदाता क्या है, इसे ताज़ा करना चाहते हैं तो इसे पढ़ें। सामग्री प्रदाता मूल रूप से डेटा साझा करने के लिए उपयोग किए जाते हैं। यदि किसी ऐप में उपलब्ध सामग्री प्रदाता हैं, तो आप उनसे संवेदनशील डेटा निकालने में सक्षम हो सकते हैं। यह भी संभावित SQL इंजेक्शन और पथ ट्रैवर्सल का परीक्षण करने के लिए दिलचस्प है क्योंकि वे कमजोर हो सकते हैं।
ड्रोज़र के साथ सामग्री प्रदाताओं का शोषण कैसे करें, यह जानें।
यदि आप सेवा क्या है, इसे ताज़ा करना चाहते हैं तो इसे पढ़ें।
याद रखें कि एक सेवा की क्रियाएँ onStartCommand
विधि में शुरू होती हैं।
एक सेवा मूल रूप से कुछ ऐसा है जो डेटा प्राप्त कर सकता है, प्रसंस्करण कर सकता है और एक प्रतिक्रिया (या नहीं) लौटाता है। फिर, यदि कोई एप्लिकेशन कुछ सेवाएँ निर्यात कर रहा है, तो आपको कोड की जांच करनी चाहिए ताकि यह समझ सकें कि यह क्या कर रहा है और गोपनीय जानकारी निकालने, प्रमाणीकरण उपायों को बाईपास करने के लिए इसे गतिशील रूप से परीक्षण करें... ड्रोज़र के साथ सेवाओं का शोषण कैसे करें, यह जानें।
यदि आप ब्रॉडकास्ट रिसीवर क्या है, इसे ताज़ा करना चाहते हैं तो इसे पढ़ें।
याद रखें कि एक ब्रॉडकास्ट रिसीवर की क्रियाएँ onReceive
विधि में शुरू होती हैं।
एक ब्रॉडकास्ट रिसीवर एक प्रकार के संदेश की प्रतीक्षा करेगा। रिसीवर जिस तरह से संदेश को संभालता है, उसके आधार पर यह कमजोर हो सकता है। ड्रोज़र के साथ ब्रॉडकास्ट रिसीवर्स का शोषण कैसे करें, यह जानें।
आप मैन्युअल रूप से डीप लिंक की खोज कर सकते हैं, MobSF जैसे उपकरणों का उपयोग करके या इस स्क्रिप्ट का उपयोग करके। आप adb या एक ब्राउज़र का उपयोग करके एक घोषित स्कीम को खोल सकते हैं:
ध्यान दें कि आप पैकेज नाम को छोड़ सकते हैं और मोबाइल स्वचालित रूप से उस ऐप को कॉल करेगा जो उस लिंक को खोलना चाहिए।
कोड निष्पादित किया गया
ऐप में निष्पादित होने वाले कोड को खोजने के लिए, उस गतिविधि पर जाएं जिसे डीप लिंक द्वारा कॉल किया गया है और फ़ंक्शन onNewIntent
को खोजें।
संवेदनशील जानकारी
हर बार जब आप एक डीप लिंक पाते हैं, तो जांचें कि यह URL पैरामीटर के माध्यम से संवेदनशील डेटा (जैसे पासवर्ड) प्राप्त नहीं कर रहा है, क्योंकि कोई अन्य एप्लिकेशन डीप लिंक का अनुकरण कर सकता है और उस डेटा को चुरा सकता है!
पैरामीटर पथ में
आपको यह भी जांचना चाहिए कि क्या कोई डीप लिंक URL के पथ के अंदर किसी पैरामीटर का उपयोग कर रहा है जैसे: https://api.example.com/v1/users/{username}
, इस मामले में आप पथ यात्रा को मजबूर कर सकते हैं और कुछ इस तरह पहुंच सकते हैं: example://app/users?username=../../unwanted-endpoint%3fparam=value
.
ध्यान दें कि यदि आप एप्लिकेशन के अंदर सही एंडपॉइंट्स पाते हैं, तो आप ओपन रीडायरेक्ट (यदि पथ का एक भाग डोमेन नाम के रूप में उपयोग किया जाता है), खाता अधिग्रहण (यदि आप CSRF टोकन के बिना उपयोगकर्ता विवरण को संशोधित कर सकते हैं और कमजोर एंडपॉइंट ने सही विधि का उपयोग किया) और किसी अन्य कमजोरियों का कारण बन सकते हैं। इसके बारे में अधिक जानकारी यहाँ है।
अधिक उदाहरण
एक दिलचस्प बग बाउंटी रिपोर्ट लिंक के बारे में (/.well-known/assetlinks.json).
सर्टिफिकेट हमेशा ठीक से निरीक्षण नहीं किए जाते Android एप्लिकेशनों द्वारा। इन एप्लिकेशनों के लिए चेतावनियों की अनदेखी करना और स्व-हस्ताक्षरित सर्टिफिकेट स्वीकार करना या कुछ मामलों में HTTP कनेक्शन का उपयोग करना सामान्य है।
SSL/TLS हैंडशेक के दौरान बातचीत कभी-कभी कमजोर होती है, असुरक्षित सिफर सूट का उपयोग करते हुए। यह भेद्यता कनेक्शन को मैन-इन-द-मिडल (MITM) हमलों के प्रति संवेदनशील बनाती है, जिससे हमलावर डेटा को डिक्रिप्ट कर सकते हैं।
निजी जानकारी का लीक एक जोखिम है जब एप्लिकेशन सुरक्षित चैनलों का उपयोग करके प्रमाणीकरण करते हैं लेकिन फिर अन्य लेनदेन के लिए असुरक्षित चैनलों के माध्यम से संचार करते हैं। यह दृष्टिकोण संवेदनशील डेटा, जैसे सत्र कुकीज़ या उपयोगकर्ता विवरण, को दुर्भावनापूर्ण संस्थाओं द्वारा इंटरसेप्शन से बचाने में विफल रहता है।
हम सर्टिफिकेट सत्यापन पर ध्यान केंद्रित करेंगे। सुरक्षा बढ़ाने के लिए सर्वर के सर्टिफिकेट की अखंडता की पुष्टि की जानी चाहिए। यह महत्वपूर्ण है क्योंकि असुरक्षित TLS कॉन्फ़िगरेशन और असुरक्षित चैनलों के माध्यम से संवेदनशील डेटा का संचरण महत्वपूर्ण जोखिम पैदा कर सकता है। सर्वर सर्टिफिकेट की पुष्टि करने और कमजोरियों को संबोधित करने के लिए विस्तृत चरणों के लिए, यह संसाधन व्यापक मार्गदर्शन प्रदान करता है।
SSL पिनिंग एक सुरक्षा उपाय है जहां एप्लिकेशन सर्वर के सर्टिफिकेट की पुष्टि एक ज्ञात प्रति के खिलाफ करती है जो एप्लिकेशन के भीतर संग्रहीत होती है। यह विधि MITM हमलों को रोकने के लिए आवश्यक है। संवेदनशील जानकारी को संभालने वाले एप्लिकेशनों के लिए SSL पिनिंग को लागू करना अत्यधिक अनुशंसित है।
HTTP ट्रैफ़िक का निरीक्षण करने के लिए, प्रॉक्सी टूल का सर्टिफिकेट स्थापित करना आवश्यक है (जैसे, Burp)। इस सर्टिफिकेट को स्थापित किए बिना, एन्क्रिप्टेड ट्रैफ़िक प्रॉक्सी के माध्यम से दिखाई नहीं दे सकता। कस्टम CA सर्टिफिकेट स्थापित करने के लिए एक गाइड के लिए, यहाँ क्लिक करें।
API स्तर 24 और उससे ऊपर को लक्षित करने वाले एप्लिकेशनों को प्रॉक्सी के CA सर्टिफिकेट को स्वीकार करने के लिए नेटवर्क सुरक्षा कॉन्फ़िग को संशोधित करने की आवश्यकता होती है। एन्क्रिप्टेड ट्रैफ़िक का निरीक्षण करने के लिए यह कदम महत्वपूर्ण है। नेटवर्क सुरक्षा कॉन्फ़िग को संशोधित करने के निर्देशों के लिए, इस ट्यूटोरियल का संदर्भ लें।
जब SSL पिनिंग लागू होती है, तो HTTPS ट्रैफ़िक का निरीक्षण करने के लिए इसे बायपास करना आवश्यक हो जाता है। इस उद्देश्य के लिए विभिन्न विधियाँ उपलब्ध हैं:
स्वचालित रूप से संशोधित करें apk को SSL पिनिंग बायपास करने के लिए apk-mitm के साथ। इस विकल्प का सबसे बड़ा लाभ यह है कि आपको SSL पिनिंग बायपास करने के लिए रूट की आवश्यकता नहीं होगी, लेकिन आपको एप्लिकेशन को हटाना और नए को फिर से स्थापित करना होगा, और यह हमेशा काम नहीं करेगा।
आप Frida का उपयोग कर सकते हैं (नीचे चर्चा की गई) इस सुरक्षा को बायपास करने के लिए। यहाँ Burp+Frida+Genymotion का उपयोग करने के लिए एक गाइड है: https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/
आप स्वचालित रूप से SSL पिनिंग बायपास करने का प्रयास कर सकते हैं objection: objection --gadget com.package.app explore --startup-command "android sslpinning disable"
आप MobSF डायनामिक एनालिसिस का उपयोग करके भी स्वचालित रूप से SSL पिनिंग बायपास करने का प्रयास कर सकते हैं (नीचे समझाया गया)
यदि आप अभी भी सोचते हैं कि कुछ ट्रैफ़िक है जिसे आप कैप्चर नहीं कर रहे हैं, तो आप iptables का उपयोग करके ट्रैफ़िक को burp पर अग्रेषित करने का प्रयास कर सकते हैं। इस ब्लॉग को पढ़ें: https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62
यह भी महत्वपूर्ण है कि एप्लिकेशन के भीतर सामान्य वेब कमजोरियों की खोज की जाए। इन कमजोरियों की पहचान और शमन के लिए विस्तृत जानकारी इस सारांश के दायरे से परे है लेकिन इसे अन्यत्र व्यापक रूप से कवर किया गया है।
Frida डेवलपर्स, रिवर्स-इंजीनियर्स और सुरक्षा शोधकर्ताओं के लिए एक डायनामिक इंस्ट्रुमेंटेशन टूलकिट है। आप चल रहे एप्लिकेशन तक पहुँच सकते हैं और रन टाइम पर विधियों को हुक कर सकते हैं ताकि व्यवहार को बदल सकें, मान बदल सकें, मान निकाल सकें, विभिन्न कोड चला सकें... यदि आप Android एप्लिकेशनों का परीक्षण करना चाहते हैं, तो आपको Frida का उपयोग करना सीखना होगा।
Frida का उपयोग कैसे करें: Frida ट्यूटोरियल
Frida के साथ क्रियाओं के लिए कुछ "GUI": https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security
Ojection Frida के उपयोग को स्वचालित करने के लिए शानदार है: https://github.com/sensepost/objection , https://github.com/dpnishant/appmon
आप यहाँ कुछ शानदार Frida स्क्रिप्ट्स पा सकते हैं: https://codeshare.frida.re/
एंटी-डिबगिंग / एंटी-Frida तंत्रों को बायपास करने का प्रयास करें Frida को लोड करके जैसा कि https://erfur.github.io/blog/dev/code-injection-without-ptrace में संकेतित किया गया है (उपकरण linjector)
जांचें कि क्या एप्लिकेशन संवेदनशील जानकारी को मेमोरी में संग्रहीत कर रहा है जिसे इसे संग्रहीत नहीं करना चाहिए जैसे पासवर्ड या म्नेमोनिक्स।
Fridump3 का उपयोग करके आप ऐप की मेमोरी को इस तरह डंप कर सकते हैं:
यह ./dump फ़ोल्डर में मेमोरी को डंप करेगा, और वहाँ आप कुछ इस तरह grep कर सकते हैं:
Android में कीस्टोर संवेदनशील डेटा संग्रहीत करने के लिए सबसे अच्छा स्थान है, हालाँकि, पर्याप्त विशेषाधिकारों के साथ इसे एक्सेस करना संभव है। चूंकि एप्लिकेशन यहाँ स्पष्ट पाठ में संवेदनशील डेटा संग्रहीत करने की प्रवृत्ति रखते हैं, इसलिए पेंटेस्ट को इसे रूट उपयोगकर्ता के रूप में जांचना चाहिए या किसी के पास डिवाइस तक भौतिक पहुंच हो सकती है जो इस डेटा को चुरा सकता है।
यहां तक कि अगर एक ऐप ने कीस्टोर में डेटा संग्रहीत किया है, तो डेटा को एन्क्रिप्ट किया जाना चाहिए।
कीस्टोर के अंदर डेटा तक पहुँचने के लिए आप इस Frida स्क्रिप्ट का उपयोग कर सकते हैं: https://github.com/WithSecureLabs/android-keystore-audit/blob/master/frida-scripts/tracer-cipher.js
निम्नलिखित Frida स्क्रिप्ट का उपयोग करके यह संभव हो सकता है कि फिंगरप्रिंट प्रमाणीकरण को बायपास किया जा सके जो Android अनुप्रयोग कुछ संवेदनशील क्षेत्रों की सुरक्षा के लिए कर सकते हैं:
जब आप एक एप्लिकेशन को पृष्ठभूमि में रखते हैं, तो Android एप्लिकेशन का एक स्नैपशॉट संग्रहीत करता है ताकि जब इसे अग्रभूमि में पुनर्प्राप्त किया जाए, तो यह एप्लिकेशन से पहले छवि लोड करना शुरू कर दे ताकि ऐसा लगे कि एप्लिकेशन तेजी से लोड हुआ है।
हालांकि, यदि इस स्नैपशॉट में संवेदनशील जानकारी है, तो स्नैपशॉट तक पहुँच रखने वाला कोई भी व्यक्ति उस जानकारी को चुरा सकता है (ध्यान दें कि इसे एक्सेस करने के लिए आपको रूट की आवश्यकता है)।
स्नैपशॉट आमतौर पर यहाँ संग्रहीत होते हैं: /data/system_ce/0/snapshots
Android एक तरीका प्रदान करता है FLAG_SECURE लेआउट पैरामीटर सेट करके स्क्रीनशॉट कैप्चर को रोकने के लिए। इस ध्वज का उपयोग करके, विंडो की सामग्री को सुरक्षित माना जाता है, जिससे यह स्क्रीनशॉट में दिखाई नहीं देती या असुरक्षित डिस्प्ले पर नहीं देखी जा सकती।
यह उपकरण आपको गतिशील विश्लेषण के दौरान विभिन्न उपकरणों का प्रबंधन करने में मदद कर सकता है: https://github.com/NotSoSecure/android_application_analyzer
डेवलपर्स अक्सर प्रॉक्सी घटक जैसे गतिविधियाँ, सेवाएँ, और प्रसारण रिसीवर बनाते हैं जो इन Intents को संभालते हैं और उन्हें startActivity(...)
या sendBroadcast(...)
जैसे तरीकों में पास करते हैं, जो जोखिम भरा हो सकता है।
खतरा इस बात में है कि हमलावरों को गैर-निर्यातित ऐप घटकों को ट्रिगर करने या संवेदनशील सामग्री प्रदाताओं तक पहुँचने की अनुमति दी जा रही है, इन Intents को गलत दिशा में भेजकर। एक उल्लेखनीय उदाहरण WebView
घटक है जो URLs को Intent
वस्तुओं में Intent.parseUri(...)
के माध्यम से परिवर्तित करता है और फिर उन्हें निष्पादित करता है, जो संभावित रूप से दुर्भावनापूर्ण Intent इंजेक्शन की ओर ले जा सकता है।
Intent Injection वेब के Open Redirect समस्या के समान है।
शोषण में Intent
वस्तुओं को अतिरिक्त के रूप में पास करना शामिल है, जिन्हें असुरक्षित संचालन निष्पादित करने के लिए पुनर्निर्देशित किया जा सकता है।
यह गैर-निर्यातित घटकों और सामग्री प्रदाताओं को हमलावरों के लिए उजागर कर सकता है।
WebView
का URL से Intent
में रूपांतरण अनपेक्षित क्रियाओं को सुविधाजनक बना सकता है।
संभवतः आप इस प्रकार की कमजोरियों के बारे में वेब से जानते हैं। आपको Android एप्लिकेशन में इन कमजोरियों के प्रति विशेष रूप से सतर्क रहना चाहिए:
SQL Injection: गतिशील प्रश्नों या सामग्री-प्रदाताओं के साथ काम करते समय सुनिश्चित करें कि आप पैरामीटरयुक्त प्रश्नों का उपयोग कर रहे हैं।
JavaScript Injection (XSS): सुनिश्चित करें कि किसी भी WebViews के लिए JavaScript और Plugin समर्थन बंद है (डिफ़ॉल्ट रूप से बंद)। यहाँ अधिक जानकारी।
Local File Inclusion: WebViews को फ़ाइल प्रणाली तक पहुँच बंद होनी चाहिए (डिफ़ॉल्ट रूप से सक्षम) - (webview.getSettings().setAllowFileAccess(false);)
। यहाँ अधिक जानकारी।
Eternal cookies: कई मामलों में जब Android एप्लिकेशन सत्र समाप्त करता है, तो कुकी को रद्द नहीं किया जाता है या इसे डिस्क पर भी सहेजा जा सकता है।
अनुभवी हैकर्स और बग बाउंटी शिकारियों के साथ संवाद करने के लिए HackenProof Discord सर्वर में शामिल हों!
Hacking Insights हैकिंग के रोमांच और चुनौतियों में गहराई से जाने वाली सामग्री के साथ संलग्न हों
Real-Time Hack News वास्तविक समय की समाचार और अंतर्दृष्टि के माध्यम से तेज़-तर्रार हैकिंग दुनिया के साथ अद्यतित रहें
Latest Announcements नवीनतम बग बाउंटी लॉन्च और महत्वपूर्ण प्लेटफ़ॉर्म अपडेट के साथ सूचित रहें
Join us on Discord और आज ही शीर्ष हैकर्स के साथ सहयोग करना शुरू करें!
Static analysis
एप्लिकेशन का कमजोरियों का आकलन एक अच्छे वेब-आधारित फ्रंटेंड का उपयोग करके। आप गतिशील विश्लेषण भी कर सकते हैं (लेकिन आपको वातावरण तैयार करने की आवश्यकता है)।
Notice that MobSF can analyse Android(apk), IOS(ipa) and Windows(apx) applications (Windows applications must be analyzed from a MobSF installed in a Windows host). Also, if you create a ZIP file with the source code if an Android or an IOS app (go to the root folder of the application, select everything and create a ZIPfile), it will be able to analyse it also.
MobSF also allows you to diff/Compare analysis and to integrate VirusTotal (you will need to set your API key in MobSF/settings.py and enable it: VT_ENABLED = TRUE
VT_API_KEY = <Your API key>
VT_UPLOAD = TRUE
). You can also set VT_UPLOAD
to False
, then the hash will be upload instead of the file.
MobSF can also be very helpful for dynamic analysis in Android, but in that case you will need to install MobSF and genymotion in your host (a VM or Docker won't work). Note: You need to start first a VM in genymotion and then MobSF. The MobSF dynamic analyser can:
Dump application data (URLs, logs, clipboard, screenshots made by you, screenshots made by "Exported Activity Tester", emails, SQLite databases, XML files, and other created files). All of this is done automatically except for the screenshots, you need to press when you want a screenshot or you need to press "Exported Activity Tester" to obtain screenshots of all the exported activities.
Capture HTTPS traffic
Use Frida to obtain runtime information
From android versions > 5, it will automatically start Frida and will set global proxy settings to capture traffic. It will only capture traffic from the tested application.
Frida
By default, it will also use some Frida Scripts to bypass SSL pinning, root detection and debugger detection and to monitor interesting APIs. MobSF can also invoke exported activities, grab screenshots of them and save them for the report.
To start the dynamic testing press the green bottom: "Start Instrumentation". Press the "Frida Live Logs" to see the logs generated by the Frida scripts and "Live API Monitor" to see all the invocation to hooked methods, arguments passed and returned values (this will appear after pressing "Start Instrumentation").
MobSF also allows you to load your own Frida scripts (to send the results of your Friday scripts to MobSF use the function send()
). It also has several pre-written scripts you can load (you can add more in MobSF/DynamicAnalyzer/tools/frida_scripts/others/
), just select them, press "Load" and press "Start Instrumentation" (you will be able to see the logs of that scripts inside "Frida Live Logs").
Moreover, you have some Auxiliary Frida functionalities:
Enumerate Loaded Classes: It will print all the loaded classes
Capture Strings: It will print all the capture strings while using the application (super noisy)
Capture String Comparisons: Could be very useful. It will show the 2 strings being compared and if the result was True or False.
Enumerate Class Methods: Put the class name (like "java.io.File") and it will print all the methods of the class.
Search Class Pattern: Search classes by pattern
Trace Class Methods: Trace a whole class (see inputs and outputs of all methods of th class). Remember that by default MobSF traces several interesting Android Api methods.
Once you have selected the auxiliary module you want to use you need to press "Start Intrumentation" and you will see all the outputs in "Frida Live Logs".
Shell
Mobsf also brings you a shell with some adb commands, MobSF commands, and common shell commands at the bottom of the dynamic analysis page. Some interesting commands:
HTTP उपकरण
जब http ट्रैफ़िक कैप्चर किया जाता है, तो आप "HTTP(S) ट्रैफ़िक" के नीचे कैप्चर किए गए ट्रैफ़िक का एक भद्दा दृश्य देख सकते हैं या "स्टार्ट HTTPTools" हरे बटन में एक बेहतर दृश्य देख सकते हैं। दूसरे विकल्प से, आप कैप्चर किए गए अनुरोधों को प्रॉक्सी जैसे Burp या Owasp ZAP पर भेज सकते हैं। इसके लिए, Burp चालू करें --> Intercept बंद करें --> MobSB HTTPTools में अनुरोध का चयन करें --> "Fuzzer पर भेजें" दबाएं --> प्रॉक्सी पते का चयन करें (http://127.0.0.1:8080\)।
एक बार जब आप MobSF के साथ गतिशील विश्लेषण समाप्त कर लेते हैं, तो आप "स्टार्ट वेब API फज़्ज़र" पर दबा सकते हैं ताकि http अनुरोधों को फज़्ज़ करें और कमजोरियों की तलाश करें।
MobSF के साथ गतिशील विश्लेषण करने के बाद प्रॉक्सी सेटिंग्स गलत हो सकती हैं और आप उन्हें GUI से ठीक नहीं कर पाएंगे। आप प्रॉक्सी सेटिंग्स को ठीक करने के लिए:
आप इस उपकरण को Inspeckage से प्राप्त कर सकते हैं। यह उपकरण कुछ Hooks का उपयोग करेगा ताकि आपको यह जानने में मदद मिल सके कि एप्लिकेशन में क्या हो रहा है जब आप dynamic analysis करते हैं।
यह GUI के साथ स्थिर विश्लेषण करने के लिए एक शानदार उपकरण है
यह उपकरण कई सुरक्षा संबंधित Android एप्लिकेशन कमजोरियों की खोज के लिए डिज़ाइन किया गया है, चाहे वह source code में हो या पैकेज्ड APKs में। यह उपकरण "Proof-of-Concept" तैनात करने योग्य APK और ADB commands बनाने में भी सक्षम है, ताकि कुछ खोजी गई कमजोरियों (Exposed activities, intents, tapjacking...) का शोषण किया जा सके। Drozer की तरह, परीक्षण उपकरण को रूट करने की आवश्यकता नहीं है।
सभी निकाले गए फ़ाइलों को आसान संदर्भ के लिए प्रदर्शित करता है
APK फ़ाइलों को स्वचालित रूप से Java और Smali प्रारूप में डिकंपाइल करता है
सामान्य कमजोरियों और व्यवहार के लिए AndroidManifest.xml का विश्लेषण करें
सामान्य कमजोरियों और व्यवहार के लिए स्थैतिक स्रोत कोड विश्लेषण
डिवाइस जानकारी
और अधिक
SUPER एक कमांड-लाइन एप्लिकेशन है जिसे Windows, MacOS X और Linux में उपयोग किया जा सकता है, जो .apk फ़ाइलों का विश्लेषण करता है ताकि कमजोरियों की खोज की जा सके। यह APKs को डिकंप्रेस करके और उन कमजोरियों का पता लगाने के लिए नियमों की एक श्रृंखला लागू करके ऐसा करता है।
सभी नियम rules.json
फ़ाइल में केंद्रित हैं, और प्रत्येक कंपनी या परीक्षक अपने आवश्यकताओं के अनुसार विश्लेषण करने के लिए अपने नियम बना सकता है।
नवीनतम बाइनरी डाउनलोड पृष्ठ से डाउनलोड करें।
StaCoAn एक क्रॉसप्लेटफ़ॉर्म उपकरण है जो डेवलपर्स, बग बाउंटी शिकारियों और नैतिक हैकरों को मोबाइल अनुप्रयोगों पर स्टैटिक कोड विश्लेषण करने में मदद करता है।
विचार यह है कि आप अपने मोबाइल अनुप्रयोग फ़ाइल (एक .apk या .ipa फ़ाइल) को StaCoAn अनुप्रयोग पर खींचते और छोड़ते हैं और यह आपके लिए एक दृश्य और पोर्टेबल रिपोर्ट उत्पन्न करेगा। आप सेटिंग्स और वर्डलिस्ट को समायोजित कर सकते हैं ताकि एक अनुकूलित अनुभव प्राप्त कर सकें।
डाउनलोड नवीनतम रिलीज़:
AndroBugs Framework एक Android कमजोरियों का विश्लेषण प्रणाली है जो डेवलपर्स या हैकर्स को Android अनुप्रयोगों में संभावित सुरक्षा कमजोरियों को खोजने में मदद करती है। Windows releases
Androwarn एक उपकरण है जिसका मुख्य उद्देश्य एक Android एप्लिकेशन द्वारा विकसित संभावित दुर्भावनापूर्ण व्यवहारों का पता लगाना और उपयोगकर्ता को चेतावनी देना है।
पता लगाने की प्रक्रिया एप्लिकेशन के Dalvik बाइटकोड का स्थैतिक विश्लेषण करके की जाती है, जिसे Smali के रूप में दर्शाया गया है, androguard
पुस्तकालय के साथ।
यह उपकरण "खराब" एप्लिकेशनों के सामान्य व्यवहार की तलाश करता है जैसे: टेलीफोनी पहचानकर्ताओं का बहिर्वाह, ऑडियो/वीडियो प्रवाह का अवरोधन, PIM डेटा में संशोधन, मनमाना कोड निष्पादन...
MARA एक Mोबाइल Aप्लिकेशन Rिवर्स इंजीनियरिंग और Aनालिसिस फ्रेमवर्क है। यह एक उपकरण है जो सामान्यतः उपयोग किए जाने वाले मोबाइल एप्लिकेशन रिवर्स इंजीनियरिंग और विश्लेषण उपकरणों को एक साथ लाता है, ताकि मोबाइल एप्लिकेशनों का परीक्षण OWASP मोबाइल सुरक्षा खतरों के खिलाफ किया जा सके। इसका उद्देश्य इस कार्य को मोबाइल एप्लिकेशन डेवलपर्स और सुरक्षा पेशेवरों के लिए आसान और मित्रवत बनाना है।
यह सक्षम है:
विभिन्न उपकरणों का उपयोग करके Java और Smali कोड निकालना
smalisca, ClassyShark, androbugs, androwarn, APKiD का उपयोग करके APK का विश्लेषण करना
regexps का उपयोग करके APK से निजी जानकारी निकालना।
मैनिफेस्ट का विश्लेषण करना।
apk-deguard.com के माध्यम से APK को डिओबफस्केट करना
मैलवेयर का पता लगाने के लिए उपयोगी: https://koodous.com/
ध्यान दें कि जिस सेवा और कॉन्फ़िगरेशन का आप उपयोग करते हैं, उसके आधार पर कोड को ओबफस्केट करने के लिए। रहस्य ओबफस्केटेड हो सकते हैं या नहीं भी हो सकते हैं।
विकिपीडिया से: ProGuard एक ओपन-सोर्स कमांड-लाइन उपकरण है जो Java कोड को संकुचित, अनुकूलित और ओबफस्केट करता है। यह बाइटकोड को अनुकूलित करने के साथ-साथ अप्रयुक्त निर्देशों का पता लगाने और उन्हें हटाने में सक्षम है। ProGuard मुफ्त सॉफ़्टवेयर है और इसे GNU जनरल पब्लिक लाइसेंस, संस्करण 2 के तहत वितरित किया जाता है।
ProGuard Android SDK का एक हिस्सा के रूप में वितरित किया जाता है और रिलीज़ मोड में एप्लिकेशन बनाने पर चलता है।
APK को डिओबफस्केट करने के लिए चरण-दर-चरण गाइड https://blog.lexfo.fr/dexguard.html पर खोजें
(उस गाइड से) आखिरी बार जब हमने जांचा, Dexguard का संचालन मोड था:
एक संसाधन को InputStream के रूप में लोड करें;
इसे डिक्रिप्ट करने के लिए FilterInputStream से विरासत में मिली एक क्लास को परिणाम दें;
एक रिवर्सर के समय को बर्बाद करने के लिए कुछ बेकार ओबफस्केशन करें;
डिक्रिप्टेड परिणाम को ZipInputStream में दें ताकि एक DEX फ़ाइल प्राप्त हो सके;
अंततः loadDex
विधि का उपयोग करके परिणामस्वरूप DEX को एक संसाधन के रूप में लोड करें।
DeGuard Android ओबफस्केशन उपकरणों द्वारा किए गए ओबफस्केशन की प्रक्रिया को उलटता है। यह कोड निरीक्षण और पुस्तकालयों की भविष्यवाणी सहित कई सुरक्षा विश्लेषणों को सक्षम बनाता है।
आप उनके प्लेटफॉर्म पर एक ओबफस्केटेड APK अपलोड कर सकते हैं।
यह एक सामान्य Android डिओबफस्केटर है। Simplify वास्तव में एक ऐप को निष्पादित करता है ताकि इसके व्यवहार को समझा जा सके और फिर कोड को अनुकूलित करने की कोशिश करता है ताकि यह समान रूप से व्यवहार करे लेकिन इसे मानव के लिए समझना आसान हो। प्रत्येक अनुकूलन प्रकार सरल और सामान्य है, इसलिए यह मायने नहीं रखता कि ओबफस्केशन का विशिष्ट प्रकार क्या है।
APKiD आपको यह जानकारी देता है कि एक APK कैसे बनाई गई थी। यह कई कंपाइलर्स, पैकर, ओबफस्केटर्स, और अन्य अजीब चीजों की पहचान करता है। यह PEiD Android के लिए है।
कस्टम ओबफस्केशन को कैसे रिवर्स करें इस पर कुछ ट्रिक्स सीखने के लिए इस ट्यूटोरियल को पढ़ें
AndroL4b एक Android सुरक्षा वर्चुअल मशीन है जो ubuntu-mate पर आधारित है, जिसमें रिवर्स इंजीनियरिंग और मैलवेयर विश्लेषण के लिए विभिन्न सुरक्षा विशेषज्ञों और शोधकर्ताओं से नवीनतम फ्रेमवर्क, ट्यूटोरियल और प्रयोगशालाओं का संग्रह शामिल है।
https://appsecwiki.com/#/ यह संसाधनों की एक शानदार सूची है
https://maddiestone.github.io/AndroidAppRE/ Android त्वरित पाठ्यक्रम
Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!
Hacking Insights Engage with content that delves into the thrill and challenges of hacking
Real-Time Hack News Keep up-to-date with fast-paced hacking world through real-time news and insights
Latest Announcements Stay informed with the newest bug bounties launching and crucial platform updates
Join us on Discord and start collaborating with top hackers today!
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)