Android AppSec (Kotlin) (Beta)

คำอธิบายของ Android AppSec (Kotlin) (Beta)

แอป Android Appsec (Kotlin)
จะช่วยให้คุณฝึกฝนสำหรับจุดรักษาความปลอดภัยของ Android เราทำเพื่อเหตุผลที่ถูกต้อง - เพื่อช่วยให้นักพัฒนาทำให้แอปของพวกเขาปลอดภัยยิ่งขึ้น วิธีที่ดีที่สุดในการตรวจสอบว่าแอปของคุณดังต่อไปนี้ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในการพัฒนามือถือที่ปลอดภัยคือการประเมินความปลอดภัยของแอปซึ่งอาจรวมถึงการทดสอบความปลอดภัยของแอปมือถืออัตโนมัติ, การทดสอบการเจาะแบบแมนนวลและอื่น ๆ แอปพลิเคชั่นนี้แสดงถึงความรู้บางอย่างที่เราแบ่งปันกับชุมชน Infosec เรากำลังพยายามสร้างแอปพลิเคชันที่มีช่องโหว่ตาม
คู่มือการทดสอบความปลอดภัยมือถือ
ในแอปพลิเคชั่นนี้เราครอบคลุมคะแนนต่ำกว่า:
1 การจราจร http
1.1 การรับส่งข้อมูล HTTP
1.2 การรับส่งข้อมูล HTTPS
2 คีย์ Public Pinning
2.1-4 Pinning Pinning Bypass
3 Non-HTTP Traffic
3.1 TCP Traffic
3.2 ปริมาณการใช้ UDP
4 WebSocket Traffic
4.1 Socket Web Socket (WS)
4.2 Web Socket Secure (WSS)
5 การตรวจจับราก
5.1 แอปการจัดการรูท
5.2 แอปที่อาจเป็นอันตราย
5.3 การปิดบังรูทแอป
5.4 ปุ่มทดสอบ
5.5 อุปกรณ์ประกอบฉากอันตราย
5.6 Busybox Binary
5.7 Su Binary
5.8 Su มี 5.9 ระบบ RW
5.10 SafetyNet
5.11 ใช้กระบวนการทำงาน
6 Emulator Detection
6.1 หมายเลขโทรศัพท์เสมือนจริง
6.2 ID อุปกรณ์
6.3 ข้อมูลจำเพาะฮาร์ดแวร์ 6.4 QEMU Detection
6.5 ไฟล์ตามการตรวจสอบการตรวจสอบ IP 6.6 IP
6.7 ชื่อแพ็คเกจ
6.8 การดีบักธง
6.9 ชื่อผู้ประกอบการเครือข่าย 6.9 > 7 การป้องกันการดีบัก detectio n
8 ที่เก็บข้อมูลที่ไม่ปลอดภัย
8.1 SQLite Databases (Unkyrypted)
ฐานข้อมูล 8.2 SQLite (เข้ารหัส)
8.3 ฐานข้อมูล Realm (UnkRypted)
8.4 Realm Databases (Encrypted)
8.5 Firebase Real-Time Databases
8.6 การตั้งค่าที่ใช้ร่วมกันของ 8.7 Storage ภายใน
8.8 ที่เก็บข้อมูลภายนอก
8.9 Keystore
8.10 Keyschain
8.11 Keystore > 8.12 ส่วนต่อประสานผู้ใช้
การสำรองข้อมูลแอป 8.13
8.14 สกรีนช็อต
8.15 หน่วยความจำ
8.16 แคชพจนานุกรมผู้ใช้
8.17 วางบอร์ด
8.18 ข้อมูลกิจกรรม
9 บันทึก
9.1 Informational
ข้อผิดพลาด 9.2
9.3 คำเตือน
9.4 Debug
9.5 Verbose
9.6 WTF
10 ผู้ให้บริการเนื้อหา
10.1 SQL Injection
10.2 ระบบไฟล์เปิดเผย
11 การเข้ารหัส
11.1 รหัสการตรวจสอบข้อความ
11.2 ข้อความย่อย
11.3 ลายเซ็น
11.4 การใช้งานที่กำหนดเอง
11.5 caesar ciper
11.6 การผลิตที่สำคัญที่อ่อนแอ
11.7 ตัวเลขสุ่มที่อ่อนแอ
11.8 Padding ที่อ่อนแอกว่า
12 การเข้ารหัสแบบสมมาตร
12.1 des
12.2 3Des
12.3 RC4
12.4 Blowfish
12.5 Aes
12.6 เวกเตอร์การเริ่มต้นที่คาดการณ์ได้
13 การเข้ารหัสแบบไม่สมมาตร
13.1 RSA
14 Hashing
14.1 md4
14.2 MD5
14.3 SHA1
15 การรับรองความถูกต้อง
15.1 ไบโอเมตริกซ์
15.2 ยืนยันข้อมูลรับรอง
15.3 2FA - OTP รั่วไหล
15.4 2FA - การตอบสนองต่อการตอบสนองของ OTP
15.5 2FA - การจัดการรหัสสถานะ
15.6 2FA - OTP Brute-Force
15.7 2FA - OTP Brute-Force 2
15.8 2FA - การตรวจสอบความสมบูรณ์ของ 15.9 แอปพลิเคชันล็อค
16 การป้องกันไบนารี
16.1 ไลบรารี (NDK)
16.2 Packers
16.3 obfuscator
17 อุปกรณ์ ID
17.1 SSAID / Android_ID
17.2 อุปกรณ์ Wi-Fi Mac
17.3 GPS ที่ตั้ง
17.4 IMEI / ESN
17.5 MEID
17.6 IMSI
18 เว็บแอปพลิเคชัน
18.1 HTML5 Controls
18.2 Bruteforce
18.3 การเข้าสู่ระบบบายพาส - การจัดการคุกกี้
18.4 การเข้ารหัส - การแฮชฟรี 18.5 JavaScript - ข้อมูลรั่ว
18.6 Server Fingerprint
18.7 การตรวจสอบฝั่งไคลเอ็นต์บายพาส
18.8 การแจงนับรหัสผ่านผู้ใช้
18.9 OTP Bruteforce
18.10 jwt m ISConfiguration
18.11 Session id ที่เดาได้
18.12 วิธีการใช้งาน API HTTP
18.13 SSRF
18.14 XXE
18.15 การอัพโหลดไฟล์ไม่ จำกัด
18.16-17 LFI-RFI
18.18 lederialization
18.16 18.19 XPath Injection
18.20 Metafiles - ข้อมูลการรั่วไหลของข้อมูล 18.21 RIA Cross Domain
18.22 ข้อมูลประจำตัวเริ่มต้น
18.23 OS Command Injection
18.24 S3 Bucket Miscrefiguration
18.25 Path Traversal
18.26 CAPTCHA บายพาส
18.27 IP Whitelisting Bypass
18.28 SSTI
18.29 รีวิวรีวิวและข้อมูลเมตา
18.30 การฉีดรหัส
18.31 ไฟล์สำรองข้อมูลเก่า
18.32 การอ้างอิงวัตถุโดยตรงที่ไม่ปลอดภัย
19 เบ็ดเตล็ด
19.1 Deeplink
19.2 รหัส QR
19.3-7 Backdoor 1-5
มันจะยอดเยี่ยมถ้าคุณสามารถสนับสนุนและแบ่งปันความคิดของคุณกับเราเพื่อปรับปรุงแอปพลิเคชันนี้