Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 12:43:23 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/mobile-pentesting/android-checklist.md
Translator workflow 1d9d380da0 Translated to Korean
2024-02-10 21:30:13 +00:00

6.1 KiB
Raw Blame History

Android APK 체크리스트

htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!

가장 중요한 취약점을 찾아서 빠르게 수정하세요. Intruder는 공격 표면을 추적하고 적극적인 위협 스캔을 실행하여 API부터 웹 앱 및 클라우드 시스템까지 전체 기술 스택에서 문제를 찾습니다. 무료로 사용해보세요 오늘.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

Android 기본 개념 배우기

정적 분석

  • 난독화 사용 여부 확인, 루팅된 모바일인지, 에뮬레이터를 사용 중인지, 방해 방지 확인. 자세한 내용은 여기를 읽으세요.
  • 은행 앱과 같은 민감한 애플리케이션은 모바일이 루팅되었는지 확인하고 그에 따라 대응해야 합니다.
  • 흥미로운 문자열 (비밀번호, URL, API, 암호화, 백도어, 토큰, Bluetooth UUID 등) 검색.
  • 파이어베이스 API에 특별한 주의를 기울입니다.
  • 매니페스트 읽기:
  • 애플리케이션이 디버그 모드인지 확인하고 "악용"을 시도합니다.
  • APK가 백업을 허용하는지 확인합니다.
  • 내보낸 액티비티
  • 콘텐츠 제공자
  • 노출된 서비스
  • 브로드캐스트 수신자
  • URL 스키마
  • 애플리케이션이 내부 또는 외부에서 데이터를 안전하게 저장하고 있는지 확인합니다(android-app-pentesting/#insecure-data-storage).
  • 디스크에 하드 코딩된 비밀번호나 저장된 비밀번호가 있는지 확인합니다(android-app-pentesting/#poorkeymanagementprocesses). 앱이 안전하지 않은 암호화 알고리즘을 사용하는지 확인합니다(android-app-pentesting/#useofinsecureandordeprecatedalgorithms).
  • PIE 플래그를 사용하여 컴파일된 모든 라이브러리를 확인하세요.
  • 정적 Android 분석 도구가 많은 도움이 될 수 있음을 잊지 마세요(android-app-pentesting/#automatic-analysis).

동적 분석