2023-07-07 23:42:27 +00:00
|
|
|
|
# Android APK チェックリスト
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
|
|
|
|
|
<details>
|
|
|
|
|
|
|
2024-02-08 03:59:37 +00:00
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2024-02-08 03:59:37 +00:00
|
|
|
|
* **サイバーセキュリティ企業**で働いていますか? **HackTricks で企業を宣伝**してみたいですか?または、**最新バージョンの PEASS を入手したり、HackTricks を PDF でダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
|
2024-02-07 05:47:12 +00:00
|
|
|
|
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つけてください
|
2024-02-08 03:59:37 +00:00
|
|
|
|
* [**公式 PEASS & HackTricks スウォッグ**](https://peass.creator-spring.com)を手に入れましょう
|
|
|
|
|
|
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord グループ**](https://discord.gg/hRep4RUj7f) または [**telegram グループ**](https://t.me/peass) に**参加**するか、**Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)** をフォローしてください**
|
|
|
|
|
|
* **ハッキングトリックを共有する**には、[hacktricks リポジトリ](https://github.com/carlospolop/hacktricks) と [hacktricks-cloud リポジトリ](https://github.com/carlospolop/hacktricks-cloud) に PR を提出してください
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
|
|
|
|
|
</details>
|
|
|
|
|
|
|
2023-09-03 01:45:18 +00:00
|
|
|
|
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
|
|
|
|
|
|
|
2024-02-08 03:59:37 +00:00
|
|
|
|
最も重要な脆弱性を見つけて修正できるようにしましょう。Intruder は攻撃面を追跡し、積極的な脅威スキャンを実行し、API から Web アプリやクラウドシステムまでの技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ。
|
2023-09-03 01:45:18 +00:00
|
|
|
|
|
|
|
|
|
|
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
|
|
|
|
|
|
|
|
|
|
|
|
***
|
|
|
|
|
|
|
2024-02-07 05:47:12 +00:00
|
|
|
|
### [Android の基礎を学ぶ](android-app-pentesting/#2-android-application-fundamentals)
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
* [ ] [基本](android-app-pentesting/#fundamentals-review)
|
2020-07-15 15:43:14 +00:00
|
|
|
|
* [ ] [Dalvik & Smali](android-app-pentesting/#dalvik--smali)
|
2023-07-07 23:42:27 +00:00
|
|
|
|
* [ ] [エントリーポイント](android-app-pentesting/#application-entry-points)
|
|
|
|
|
|
* [ ] [アクティビティ](android-app-pentesting/#launcher-activity)
|
2024-02-07 05:47:12 +00:00
|
|
|
|
* [ ] [URL スキーム](android-app-pentesting/#url-schemes)
|
2023-07-07 23:42:27 +00:00
|
|
|
|
* [ ] [コンテンツプロバイダー](android-app-pentesting/#services)
|
|
|
|
|
|
* [ ] [サービス](android-app-pentesting/#services-1)
|
|
|
|
|
|
* [ ] [ブロードキャストレシーバー](android-app-pentesting/#broadcast-receivers)
|
|
|
|
|
|
* [ ] [インテント](android-app-pentesting/#intents)
|
|
|
|
|
|
* [ ] [インテントフィルター](android-app-pentesting/#intent-filter)
|
|
|
|
|
|
* [ ] [その他のコンポーネント](android-app-pentesting/#other-app-components)
|
2024-02-07 05:47:12 +00:00
|
|
|
|
* [ ] [ADB の使用方法](android-app-pentesting/#adb-android-debug-bridge)
|
|
|
|
|
|
* [ ] [Smali の修正方法](android-app-pentesting/#smali)
|
2023-07-07 23:42:27 +00:00
|
|
|
|
|
|
|
|
|
|
### [静的解析](android-app-pentesting/#static-analysis)
|
|
|
|
|
|
|
2024-02-08 03:59:37 +00:00
|
|
|
|
* [ ] [難読化](android-checklist.md#some-obfuscation-deobfuscation-information) の使用をチェックし、モバイルがルート化されているか、エミュレータが使用されているか、およびアンチタンパリングチェックを行います。詳細は[こちらを参照](android-app-pentesting/#other-checks)してください。
|
|
|
|
|
|
* [ ] 銀行アプリなどの**重要なアプリケーション**は、モバイルがルート化されているかどうかをチェックし、それに応じて動作する必要があります。
|
2024-02-07 05:47:12 +00:00
|
|
|
|
* [ ] [興味深い文字列](android-app-pentesting/#looking-for-interesting-info) (パスワード、URL、API、暗号化、バックドア、トークン、Bluetooth UUID など) を検索します。
|
2024-02-08 03:59:37 +00:00
|
|
|
|
* [ ] [Firebase ](android-app-pentesting/#firebase)API に特に注意してください。
|
2024-02-07 05:47:12 +00:00
|
|
|
|
* [ ] マニフェストを読む:
|
|
|
|
|
|
* [ ] アプリケーションがデバッグモードにあるかどうかをチェックし、「攻撃」を試みます
|
|
|
|
|
|
* [ ] APK がバックアップを許可しているかどうかを確認します
|
2023-07-07 23:42:27 +00:00
|
|
|
|
* [ ] エクスポートされたアクティビティ
|
|
|
|
|
|
* [ ] コンテンツプロバイダー
|
|
|
|
|
|
* [ ] 公開されたサービス
|
|
|
|
|
|
* [ ] ブロードキャストレシーバー
|
2024-02-07 05:47:12 +00:00
|
|
|
|
* [ ] URL スキーム
|
|
|
|
|
|
* [ ] アプリケーションが内部または外部に**安全でないデータを保存**しているかどうかは?
|
|
|
|
|
|
* [ ] パスワードがハードコードされているか、ディスクに保存されているかは?アプリが**安全でない暗号アルゴリズム**を使用しているかは?
|
|
|
|
|
|
* [ ] すべてのライブラリが PIE フラグを使用してコンパイルされていますか?
|
|
|
|
|
|
* [ ] このフェーズ中に役立つ**多くの[静的 Android アナライザー](android-app-pentesting/#automatic-analysis)**があることを忘れないでください。
|
2023-07-07 23:42:27 +00:00
|
|
|
|
|
|
|
|
|
|
### [動的解析](android-app-pentesting/#dynamic-analysis)
|
|
|
|
|
|
|
2024-02-07 05:47:12 +00:00
|
|
|
|
* [ ] 環境を準備します([オンライン](android-app-pentesting/#online-dynamic-analysis)、[ローカル VM または物理](android-app-pentesting/#local-dynamic-analysis))
|
|
|
|
|
|
* [ ] [意図しないデータ漏洩](android-app-pentesting/#unintended-data-leakage) (ログ記録、コピー/貼り付け、クラッシュログ) がありますか?
|
2024-02-08 03:59:37 +00:00
|
|
|
|
* [ ] SQLite データベースに**機密情報が保存**されていますか?
|
2024-02-07 05:47:12 +00:00
|
|
|
|
* [ ] **悪用可能な公開されたアクティビティ** がありますか?
|
|
|
|
|
|
* [ ] **悪用可能なコンテンツプロバイダー** がありますか?
|
|
|
|
|
|
* [ ] **悪用可能な公開されたサービス** がありますか?
|
|
|
|
|
|
* [ ] **悪用可能なブロードキャストレシーバー** がありますか?
|
2024-02-08 03:59:37 +00:00
|
|
|
|
* [ ] アプリケーションが情報を**平文で送信/弱いアルゴリズムを使用**していますか?MitM が可能ですか?
|
2024-02-07 05:47:12 +00:00
|
|
|
|
* [ ] HTTP/HTTPS トラフィックを**検査**します
|
|
|
|
|
|
* [ ] これは非常に重要です。HTTP トラフィックをキャプチャできれば、一般的な Web 脆弱性を検索できます(Hacktricks には Web 脆弱性に関する多くの情報があります)。
|
|
|
|
|
|
* [ ] 可能な**Android クライアントサイドインジェクション**をチェックします(おそらくここでいくつかの静的コード分析が役立つでしょう)
|
|
|
|
|
|
* [ ] [Frida](android-app-pentesting/#frida):Frida だけを使用して、アプリケーションから興味深い動的データを取得します(おそらくいくつかのパスワード...)
|
|
|
|
|
|
|
|
|
|
|
|
### 難読化/難読化解除情報
|
2023-07-07 23:42:27 +00:00
|
|
|
|
|
2023-09-03 01:45:18 +00:00
|
|
|
|
* [ ] [こちらを読んでください](android-app-pentesting/#obfuscating-deobfuscating-code)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>
|
|
|
|
|
|
|
2024-02-08 03:59:37 +00:00
|
|
|
|
最も重要な脆弱性を見つけて修正できるようにしましょう。Intruder は攻撃面を追跡し、積極的な脅威スキャンを実行し、API から Web アプリやクラウドシステムまでの技術スタック全体で問題を見つけます。[**無料でお試しください**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) 今すぐ。
|
2023-09-03 01:45:18 +00:00
|
|
|
|
|
|
|
|
|
|
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
|
|
|
|
|
<details>
|
|
|
|
|
|
|
2024-02-08 03:59:37 +00:00
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> - <a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2024-02-08 03:59:37 +00:00
|
|
|
|
* **サイバーセキュリティ企業**で働いていますか? **HackTricks で企業を宣伝**してみたいですか?または、**最新バージョンの PEASS を入手したり、HackTricks を PDF でダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください!
|
2024-02-07 05:47:12 +00:00
|
|
|
|
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つけてください
|
2024-02-08 03:59:37 +00:00
|
|
|
|
* [**公式 PEASS & HackTricks スウォッグ**](https://peass.creator-spring.com)を手に入れましょう
|
|
|
|
|
|
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord グループ**](https://discord.gg/hRep4RUj7f) または [**telegram グループ**](https://t.me/peass) に**参加**するか、**Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)** をフォローしてください**
|
|
|
|
|
|
* **ハッキングトリックを共有する**には、[hacktricks リポジトリ](https://github.com/carlospolop/hacktricks) と [hacktricks-cloud リポジトリ](https://github.com/carlospolop/hacktricks-cloud) に PR を提出してください
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
|
|
|
|
|
</details>
|
