Android appsec (Kotlin) APP akan membantu anda untuk berlatih untuk Mata Keselamatan Android. Kami melakukannya atas alasan yang betul - untuk membantu pemaju membuat aplikasi mereka lebih selamat. Cara terbaik untuk mengesahkan bahawa aplikasi anda mengikuti amalan terbaik pembangunan mudah alih yang selamat adalah untuk melakukan penilaian keselamatan aplikasi, yang boleh memasukkan ujian keselamatan aplikasi mudah alih automatik, fuzzing, ujian penembusan manual, dan banyak lagi. Aplikasi ini mewakili beberapa pengetahuan yang kami kongsi dengan komuniti InfoSec. Kami cuba untuk membina aplikasi yang terdedah berdasarkan Panduan Ujian Keselamatan Mudah Alih
.
Dalam permohonan ini kami meliputi perkara-perkara di bawah:
1 HTTP Trafik
1.1 Trafik HTTP
1.2 Trafik HTTPS
2 PINTU AWAM PINJAMAN
2.1-4 Sijil Pinning Bypass
3 Trafik Non-HTTP
3.1 TCP Traffic
3.2 UDP Traffic
4 Lalu lintas WebSocket
4.1 Socket Web (WS)
4.2 Socket Web Secure (WSS)
5 Pengesanan Root
5.1 Aplikasi Pengurusan Root
5.2 Aplikasi yang berpotensi berbahaya
5.3 Root cloaking apps
5.4 Kekunci ujian 5.5 PROP berbahaya
5.6 Busybox binari
5.7 Su binari 5.8 Su wujud
5.9 RW Sistem
5.10 SafetyNet
5.11 Menggunakan proses berjalan
6 Pengesanan Emulator
6.1 Nombor telefon maya
6.2 ID peranti
6.3 Spesifikasi perkakasan
6.4 Pengesanan Qemu
6.5 Pemeriksaan berasaskan fail
6.6 Pemeriksaan berasaskan IP
6.7 Nama pakej
6.8 Debug Flag
6.9 Nama pengendali rangkaian
7 detectio anti-debugging N
8 Penyimpanan Data tidak selamat
8.1 Pangkalan Data Sqlite (Unecrypted)
8.2 Pangkalan Data Sqlite (disulitkan)
8.3 Pangkalan Data RealM (Unecrypted)
8.4 8.5 Firebase Pangkalan data masa nyata
8.6 Keutamaan Bersama
8.7 Penyimpanan dalaman
8.8 Penyimpanan luaran
8.9 Keystore
8.10 Keychain
8.11 Keyboard Cache
8.12 Antara Muka Pengguna
8.13 Backup APP
8.14 Skrin
8.15 Memori
8.16 Kamus pengguna Cache
8.17 Lembaga Paste
8.18 Data Aktiviti
9 log
9.1 Informational
9.2 Ralat
9.3 Amaran
9.4 Debug
9.5 Verbose
9.6 WTF
10 Penyedia Kandungan
10.1 Said SQL
10.2 Sistem Fail Pendedahan
11 penyulitan
11.1 Kod pengesahan mesej
11.2 Mesej Digest
11.3 Tandatangan
11.4 Pelaksanaan Custom
11.5 Caesar Cipher
11.6 Generasi Kunci yang lemah
11.7 Nombor Rawak yang lemah
11.8 Padding yang lemah
12 penyulitan simetri
12.1 des
12.2 3des
12.3 RC4
12.4. Blowfish
12.5 AES
12.6 Vektor permulaan yang boleh diramalkan
13 penyulitan asimetrik
13.1 RSA
14 hashing
14.1 md4
14.2 MD5
14.3 SHA1
15 Authentication
15.1 Biometric
15.2 Sahkan Kredensial
15.3 2FA - OTP Kebocoran
15.4 2FA - Manipulasi tindak balas
15.5 2FA - Manipulasi Kod Status
15.6 2FA - OTP Brute-Force
15.7 2FA - OTP Brute-Force 2
15.8 2FA - Pengesahan Integriti
15.9 Kunci Aplikasi
16 Perlindungan Perduaan
16.1 Perpustakaan (NDK)
16.2 Packers
16.3 Obfuscator
17 ID Peranti
17.1 SSAID / Android_id
17.2 Peranti Wi-Fi MAC
17.3 Lokasi GPS
17.4 IMEI / ESN
17.5 MEID
17.6 IMSI
18 Aplikasi Web
18.1 HTML5 Kawalan
18.2 BruteForce
18.3 Login Bypass - Cookies Manipulation
18.4 Pengekodan - Hashing
18.5 JavaScript - Maklumat Leak
18.6 Pelayan Cap br> 18.10 jwt m ISConfiguration
18.11 ID sesi yang boleh meneka
18.12 REST API HTTP Kaedah
18.13 SSRF
18.14 XXE
18.15 Muat naik fail yang tidak terhad
18.16-17 LFI-RFI
18.18 Deserialization
18.19 suntikan Xpath
18.20 Metafiles - Maklumat Kebocoran
18.21 Ria Cross Domain Dasar
18.22 Kredensial Default
18.23 OS Suntikan Perintah
18.24 S3 Bucket Misconfiguration
18.25 Path Traversal
18.26 Captcha Bypass
18.27 IP Whitelisting Bypass
18.28 SSTI
18.29 ulasan Komen dan metadata
18.30 Suntikan Kod
18.31 Fail sandaran lama
18.32 Rujukan objek langsung yang tidak selamat
19 Pelbagai
19.1 Deeplink
19.2 Kod QR
19.3-7 Backdoor 1-5
Ia akan menjadi baik jika anda boleh menyokong dan berkongsi pendapat anda dengan kami untuk memperbaiki aplikasi ini.
1. Insecure Data Storage
i. SQLite Database (Encrypted) challenge added
ii. KeyStore challenge added
iii. Clipboard challenge updated (Thanks Niklas Barsk for feedback)
2. Cleanup task code base - move application-related operation in utils class (anti_debugging,authentication,binary and content provider packages)