hacktricks/mobile-pentesting/android-checklist.md

95 lines
6.9 KiB
Markdown
Raw Normal View History

2024-02-10 18:14:16 +00:00
# Android APK Kontrol Listesi
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>AWS hackleme konusunda sıfırdan kahramana kadar öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
* **Bir **cybersecurity şirketinde mi çalışıyorsunuz? **Şirketinizi HackTricks'te** görmek ister misiniz? ya da **PEASS'ın en son sürümüne veya HackTricks'i PDF olarak indirmek** ister misiniz? [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuzu
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* **Katılın** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) veya **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**'ı takip edin**.
* **Hacking püf noktalarınızı göndererek [hacktricks repo](https://github.com/carlospolop/hacktricks) ve [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)** ile paylaşın.
2022-04-28 16:01:33 +00:00
</details>
**Try Hard Güvenlik Grubu**
<figure><img src="../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
***
2024-02-10 18:14:16 +00:00
### [Android temellerini öğrenin](android-app-pentesting/#2-android-application-fundamentals)
* [ ] [Temeller](android-app-pentesting/#fundamentals-review)
* [ ] [Dalvik & Smali](android-app-pentesting/#dalvik--smali)
* [ ] [Giriş noktaları](android-app-pentesting/#application-entry-points)
2024-02-10 18:14:16 +00:00
* [ ] [Aktiviteler](android-app-pentesting/#launcher-activity)
* [ ] [URL Şemaları](android-app-pentesting/#url-schemes)
* [ ] [İçerik Sağlayıcılar](android-app-pentesting/#services)
* [ ] [Hizmetler](android-app-pentesting/#services-1)
2024-02-10 18:14:16 +00:00
* [ ] [Yayın Alıcıları](android-app-pentesting/#broadcast-receivers)
* [ ] [Amaçlar](android-app-pentesting/#intents)
* [ ] [Amaç Filtresi](android-app-pentesting/#intent-filter)
2024-02-10 18:14:16 +00:00
* [ ] [Diğer bileşenler](android-app-pentesting/#other-app-components)
* [ ] [ADB nasıl kullanılır](android-app-pentesting/#adb-android-debug-bridge)
* [ ] [Smali nasıl değiştirilir](android-app-pentesting/#smali)
### [Statik Analiz](android-app-pentesting/#static-analysis)
* [ ] [Obfuskasyon](android-checklist.md#some-obfuscation-deobfuscation-information) kullanımını kontrol edin, mobilin root edilip edilmediğini, bir emülatörün kullanılıp kullanılmadığını ve anti-tampering kontrollerini kontrol edin. Daha fazla bilgi için [burayı okuyun](android-app-pentesting/#other-checks).
* [ ] Hassas uygulamalar (banka uygulamaları gibi) mobilin root edilip edilmediğini kontrol etmeli ve buna göre hareket etmelidir.
* [ ] [İlginç dizeleri](android-app-pentesting/#looking-for-interesting-info) arayın (şifreler, URL'ler, API'ler, şifreleme, arka kapılar, belirteçler, Bluetooth uuid'leri...).
* [ ] [Firebase ](android-app-pentesting/#firebase)API'lerine özel dikkat.
* [ ] Manifest dosyasını okuyun:
* [ ] Uygulamanın hata ayıklama modunda olup olmadığını kontrol edin ve "sömürmeye" çalışın
* [ ] APK'nin yedeklemelere izin verip vermediğini kontrol edin
2024-02-10 18:14:16 +00:00
* [ ] Dışa aktarılan Aktiviteler
* [ ] İçerik Sağlayıcılar
* [ ]ık hizmetler
2024-02-10 18:14:16 +00:00
* [ ] Yayın Alıcıları
* [ ] URL Şemaları
* [ ] Uygulama içinde veya dışında verilerin güvensiz bir şekilde kaydedilip kaydedilmediğini kontrol edin
* [ ] Herhangi bir şifre sabitlenmiş veya diske kaydedilmiş mi? Uygulama güvensiz şifreleme algoritmaları kullanıyor mu?
* [ ] Tüm kütüphaneler PIE bayrağı kullanılarak derlendi mi?
* [ ] Unutmayın, bu aşamada size çok yardımcı olabilecek birçok [statik Android Analiz Araçları](android-app-pentesting/#automatic-analysis) bulunmaktadır.
2024-02-10 18:14:16 +00:00
### [Dinamik Analiz](android-app-pentesting/#dynamic-analysis)
* [ ] Ortamı hazırlayın ([çevrimiçi](android-app-pentesting/#online-dynamic-analysis), [yerel VM veya fiziksel](android-app-pentesting/#local-dynamic-analysis))
* [ ] [İstenmeyen veri sızıntısı](android-app-pentesting/#unintended-data-leakage) var mı (günlükleme, kopyalama/yapıştırma, çökme günlükleri)?
* [ ] SQLite veritabanlarında kaydedilen [gizli bilgiler](android-app-pentesting/#sqlite-dbs) var mı?
* [ ] Sömürülebilir açık Aktiviteler
* [ ] Sömürülebilir İçerik Sağlayıcılar
* [ ] Sömürülebilir açık Hizmetler
* [ ] Sömürülebilir Yayın Alıcıları
* [ ] Uygulama bilgileri açık metin/ zayıf algoritmalar kullanarak iletir mi? MitM mümkün mü?
* [ ] HTTP/HTTPS trafiğini inceleyin
* [ ] Bu gerçekten önemlidir, çünkü HTTP trafiğini yakalayabilirseniz, yaygın Web zafiyetlerini arayabilirsiniz (Hacktricks'te Web zafiyetleri hakkında çok bilgi bulunmaktadır).
* [ ] Olası [Android İstemci Tarafı Enjeksiyonları](android-app-pentesting/#android-client-side-injections-and-others) için kontrol edin (muhtemelen burada bazı statik kod analizi yardımcı olacaktır)
* [ ] [Frida](android-app-pentesting/#frida): Sadece Frida, uygulamadan ilginç dinamik veriler elde etmek için kullanın (belki bazı şifreler...)
2022-04-28 16:01:33 +00:00
### Bazı obfuscation/Deobfuscation bilgileri
* [ ] [Burayı okuyun](android-app-pentesting/#obfuscating-deobfuscating-code)
**Try Hard Güvenlik Grubu**
<figure><img src="../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
<details>
<summary><strong>AWS hackleme konusunda sıfırdan kahramana kadar öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong>!</strong></summary>
* **Bir **cybersecurity şirketinde mi çalışıyorsunuz? **Şirketinizi HackTricks'te** görmek ister misiniz? ya da **PEASS'ın en son sürümüne veya HackTricks'i PDF olarak indirmek** ister misiniz? [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuzu
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* **Katılın** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) veya **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**'ı takip edin**.
* **Hacking püf noktalarınızı göndererek [hacktricks repo](https://github.com/carlospolop/hacktricks) ve [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)** ile paylaşın.
</details>