Android Application Security, часть 6. Начнём веселье

Данная статья является переводом соответствующей статьи Aditya Agrawal. Оригинал доступен по ссылке.

В этом посте я расскажу о различных Топ 10 мобильных рисках 2014 года (OWASP Mobile Top 10), атакуя уязвимое приложение Android.

Я буду использовать приложение FourGoats из проекта OWASP GoatDroid Project, которое является приложением для социальной сети с использованием геолокации, а также приложение HerdFinancial из того же проекта, которое является простым приложением для онлайн-банкинга. OWASP GoatDroid Project — классный проект для тех, кто хочет узнать, что такое безопасность приложений Android.

О том, с чего стоит начать в работе с GoatDroid Project, описано на странице их вики. Если вы используете Appie, вам не стоит выполнять предложенные шаги в инструкции. Я уже установил файлы сервера GoatDroid в Appie.

Чтобы запустить сервер, введите goatdroid в Appie

6_1

Нажмите «Start Web Service» во вкладке FourGoats, что запустит сервер

6_2

Если вы посмотрите на панель управления FourGoats, то внизу вы можете увидеть, какие уязвимости существуют в приложениях FourGoats:

Client-Side Injection (внедрение кода на стороне клиента);
Server-Side Authorization Issues (ошибки при авторизации на стороне сервера);
Side Channel Information Leakage (утечка информации по постороннему каналу);
Insecure Data Storage (небезопасное хранение данных);
Privacy Concerns (проблемы конфиденциальности);
Insufficient Transport Layer Protection (недостаточная защита на транспортном уровне);
Insecure IPC (небезопасное IPC).

Также следует установить приложение FourGoats

В предыдущих постах я уже показывал, как установить приложение FourGoats в эмуляторе. Если есть какие-либо затруднения, обратитесь к пункту «adb install» 4-й части этого цикла.
Теперь определите IP-адрес хостовой машины (в моём случае — 192.168.1.5):

6_3

Откройте приложение FourGoats в эмуляторе:

6_4

Нажмите на кнопку «Destination Info» и введите найденный ранее IP-адрес, порт 9888. Остальные поля оставьте пустыми.

6_5

Теперь вы можете залогиниться и взаимодействовать с приложением.

Логин: goatdroid
Пароль: goatdroid

6_6

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Оставить комментарий Отменить ответ