Android AppSec (kotlin)
App hilft Ihnen, für Android-Sicherheitspunkte zu üben. Wir machen es aus den richtigen Gründen - um Entwickler zu helfen, ihre Apps sicherer zu machen. Um zu überprüfen, ob Ihre App sichere mobile Entwicklung Best Practices folgt, besteht darin, Sicherheitseinschätzungen der App durchzuführen, die automatisierte mobile App-Sicherheitstests, Fuzzing, manuelle Penetrationstests und mehr enthalten können. Diese Anwendung repräsentiert einiges des Wissens, das wir mit der Infosec-Community teilen. Wir versuchen, eine anfällige Anwendung basierend auf der owasp-mobilen Sicherheitstest-Guide
aufzubauen.
In dieser Anwendung decken wir unter Punkte ab:
1 HTTP-Verkehr
1.1 HTTP-Verkehr
1.2 HTTPS-Verkehr
2 Public Key Pinning
2.1-4 Zertifikat Pining Bypass
3 Nicht-HTTP-Verkehr
3.1 TCP-Verkehr
3.2 UDP-Verkehr
4 WebSocker Traffic
4.1 Web Sockel (WS)
4.2 Web Socket Secure (WSS)
5 Root-Erkennung
5.2 Root Management-Apps
5.2 Mögliche gefährliche Apps
5.3 Root Cloak-Apps
5.4 Testschlüsseln
5.5 Gefährliche Requisiten
5.6 BUSYBOX Binary
5.7 su bininary
5.8 Su existiert
5.9 RW-System
5.10 SafetyNet
5.11 Verwenden von laufenden Prozessen
6 Emulatorerkennung
6,1 Virtuelle Telefonnummer
6.2 Geräte-IDs
6,3 Hardware-Spezifikationen
6,4 QEMU-Erkennung
6.5 Dateibasierte Überprüfung
6,6 IP-basierte Überprüfung
6.7 Paketname
6.8 Debug-Flagge
6.9 Network Operator Name
7 Anti-Debugging-Erkennung n
8 Unsichere Datenspeicherung
8.1 SQLite-Datenbanken (unverschlüsselt)
8.2 SQLite-Datenbanken (verschlüsselt)
8.3 REALM-Datenbanken (unverschlüsselt)
8.4 Realm-Datenbanken (verschlüsselt)
8.5 Firebase Echtzeit-Datenbanken
8.6 Freigegebene Einstellungen
8.7 Interner Speicherplatz
8.8 Externer Speicher
8.9 Keystore
8.10 Keychain
8.11 Tastatur-Cache
8.12 Benutzeroberfläche
8.13 APP-Backup
8.14 Screenshots
8.15 Memory
8.16 Benutzerwörterbuch Cache
8.17 Paste Board
8.18 Aktivitätsdaten
9 logs
9.1 Informational
9.2 Error
9.3 Warnungen
9.4 Debugy
9.5 Verbose
9.6 WTF
10 Inhaltsanbieter
10.1 SQL Injection
10.2 File-System-Freigabe
11-Verschlüsselung
11.1 Meldungsauthentifizierungscodes
11.2 Nachricht Digest
11.3 Unterschriften
11.4 Benutzerdefinierte Implementierungen
11.5 Caesar-Chiffre
11.6 Schwache Schlüsselerzeugung
11.7 Schwache Zufallszahl
11.8 Schwächere Polsterung
12 Symmetrische Verschlüsselung
12.1 des
12.2 3DES
12.3 RC4
12.4. Blowfish
12.5 AES
12.6 Vorhersagbare Initialisierung Vektor
13 Asymmetrische Verschlüsselung
13.1 RSA
14 Hashing
14.1 MD4
14.2 MD5
14.3 SHA1
15 Authentifizierung
15.1 Biometric
15.2 Bestätigungsanmeldeinformationen
15.3 2fa - OTP-Leckage
15.4 2fa - Antwort Manipulation
15.5 2FA - Statuscode-Manipulation
15.6 2fa - OTP Brute-Force
15.7 2fa - OTP Brute-Force 2
15.8 2fa - Integritätsvalidierung
15.9 Anwendungsschloss
16 Binärer Schutz
16.1 Bibliothek (NDK)
16.2 Packer
16.3 Obkuscator
17 Geräte-ID
17.1 SSAID / Android_ID
17.2 Gerät Wi-Fi Mac
17.3 GPS-Standort
17.4 IMEI / ESN
17.5 meiid
17.6 IMSI
18 Web-Anwendung
18.1 HTML5-Steuerelemente
18.2 BRUTEFORCE
18.3 Anmeldebypass - Cookies Manipulation
18.4 Kodierung - Hashing
18.5 JavaScript - Info-Leaks
18.6 Server Fingerabdruck
18.7 Client Side Validation Bypass
18.8 Benutzerkennwortaufzählung
18.9 otp brigerforce
18.10 jwt m Isconfiguration
18.11 Erratastbare Sitzungs-ID
18.12 REST API HTTP-Methoden
18.13 SSRF
18.14 XXE
18.15 Uneingeschränkte Datei hochladen
18.16-17 LFI-RFI
18.18 Deserialisierung
18.19 XPath Injection
18.20 Metafiles Bypass
18.27 IP Whitelisting Bypass
18.28 SSTI
18.29 Erfahrene Kommentare und Metadaten
18.30 Code-Injektion
18.31 Alte Backup-Dateien
18.32 Unsicherer Direktobjekt Referenz
19 Sonstiges
19.1 Deeplink
19.2 QR-Code
19.3-7 Backdoor 1-5
Es ist toll, wenn Sie Ihre Gedanken mit uns unterstützen und mit uns teilen können, um diese Anwendung zu verbessern.
1. Insecure Data Storage
i. SQLite Database (Encrypted) challenge added
ii. KeyStore challenge added
iii. Clipboard challenge updated (Thanks Niklas Barsk for feedback)
2. Cleanup task code base - move application-related operation in utils class (anti_debugging,authentication,binary and content provider packages)