07.03.2016 @ 14:22 Android Application Security, часть 6. Начнём веселье android Данная статья является переводом соответствующей статьи Aditya Agrawal. Оригинал доступен по ссылке. В этом посте я расскажу о различных Топ 10 мобильных рисках 2014 года (OWASP Mobile Top 10), атакуя уязвимое приложение Android. Я буду использовать приложение FourGoats из проекта OWASP GoatDroid Project, которое является приложением для социальной сети с использованием геолокации, а также приложение HerdFinancial из того же проекта, которое является простым приложением для онлайн-банкинга. OWASP GoatDroid Project — классный проект для тех, кто хочет узнать, что такое безопасность приложений Android. О том, с чего стоит начать в работе с GoatDroid Project, описано на странице их вики. Если вы используете Appie, вам не стоит выполнять предложенные шаги в инструкции. Я уже установил файлы сервера GoatDroid в Appie. Чтобы запустить сервер, введите goatdroid в Appie Нажмите «Start Web Service» во вкладке FourGoats, что запустит сервер Если вы посмотрите на панель управления FourGoats, то внизу вы можете увидеть, какие уязвимости существуют в приложениях FourGoats: Client-Side Injection (внедрение кода на стороне клиента); Server-Side Authorization Issues (ошибки при авторизации на стороне сервера); Side Channel Information Leakage (утечка информации по постороннему каналу); Insecure Data Storage (небезопасное хранение данных); Privacy Concerns (проблемы конфиденциальности); Insufficient Transport Layer Protection (недостаточная защита на транспортном уровне); Insecure IPC (небезопасное IPC). Также следует установить приложение FourGoats В предыдущих постах я уже показывал, как установить приложение FourGoats в эмуляторе. Если есть какие-либо затруднения, обратитесь к пункту «adb install» 4-й части этого цикла. Теперь определите IP-адрес хостовой машины (в моём случае — 192.168.1.5): Откройте приложение FourGoats в эмуляторе: Нажмите на кнопку «Destination Info» и введите найденный ранее IP-адрес, порт 9888. Остальные поля оставьте пустыми. Теперь вы можете залогиниться и взаимодействовать с приложением. Логин: goatdroid Пароль: goatdroid div 5159 Mobile security Читать дальше >>