hacktricks/mobile-pentesting/android-checklist.md

एंड्रॉयड APK चेकलिस्ट

☁️ हैकट्रिक्स क्लाउड ☁️ -🐦 ट्विटर 🐦 - 🎙️ ट्विच 🎙️ - 🎥 यूट्यूब 🎥

• क्या आप साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी का विज्ञापन हैकट्रिक्स में देखना चाहते हैं? या क्या आप PEASS के नवीनतम संस्करण देखना चाहते हैं या हैकट्रिक्स को पीडीएफ में डाउनलोड करना चाहते हैं? सब्सक्रिप्शन प्लान की जांच करें!
• दी पीईएएस फैमिली की खोज करें, हमारा विशेष एनएफटी संग्रह।
• आधिकारिक PEASS और हैकट्रिक्स स्वैग प्राप्त करें।
• शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या मुझे ट्विटर 🐦@carlospolopm** पर फॉलो करें।
• हैकिंग ट्रिक्स साझा करें, हैकट्रिक्स रेपो और हैकट्रिक्स-क्लाउड रेपो में पीआर जमा करके।

वे सुरक्षा गंभीरता को खोजें जो सबसे महत्वपूर्ण है ताकि आप उन्हें तेजी से ठीक कर सकें। इंट्रूडर आपकी हमले की सतह का ट्रैक करता है, प्रोएक्टिव धारणा स्कैन चलाता है, आपकी पूरी तकनीकी स्टैक, एपीआई से वेब ऐप्स और क्लाउड सिस्टम तक मुद्दे खोजता है। आज ही मुफ्त में इसे ट्राई करें।

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

---

एंड्रॉयड मूलभूत सीखें

• मूलभूत
• डलविक और स्माली
• प्रवेश बिंदु
• गतिविधियाँ
• URL स्कीम
• कंटेंट प्रोवाइडर्स
• सेवाएं
• ब्रॉडकास्ट रिसीवर्स
• इंटेंट्स
• इंटेंट फ़िल्टर
• अन्य घटक
• ADB का उपयोग कैसे करें
• स्माली को कैसे संशोधित करें

स्थैतिक विश्लेषण

• गोपनीयकरण का उपयोग करने के लिए जांचें, मोबाइल रूट किया गया है या नहीं, यदि एक एम्युलेटर का उपयोग हो रहा है और एंटी-टैम्परिंग जांचें। अधिक जानकारी के लिए यह पढ़ें।
• संवेदनशील एप्लिकेशन (जैसे बैंक ऐप्स) को जांचना चाहिए कि क्या मोबाइल रूट किया गया है और उसके अनुसार कार्रवाई करनी चाहिए।
• रोचक स्ट्रिंग्स (पासवर्ड, यूआरएल, एपीआई, एन्क्रिप्शन, बैकडोअर, टोकन, ब्लूटूथ यूआईडी...) के लिए खोजें।
• फायरबेस एपीआई को विशेष ध्यान दें।
• मैनिफेस्ट पढ़ें:
• जांचें कि एप्लिकेशन डीबग मोड में है और इसे "शार्ट" करने की कोशिश करें
• जांचें कि APK बैकअप की अनुमति देता है या नहीं
• निर्यातित गतिविधियाँ
• कंटेंट प्रोवाइडर्स
• उजागर सेवाएं
• ब्रॉडकास्ट रिसीवर्स
• URL स्कीम
• क्या एप्लिकेशन अंतर्निहित या बाहरी रूप से डेटा सुरक्षित रूप से सहेज रहा है](android-app-pentesting/#insecure-data-storage)?
• क्या कोई हार्ड कोडेड पासवर्ड या डिस्क में सहेजा गया है? क्या ऐप असुरक्षित क्रिप्टो एल्गोरिथ्म का उपयोग कर रहा है?
• क्या सभी पुस्तकालयों को PIE फ्लैग का उपयोग करके कॉम्पाइल किया गया है?
• न भूलें कि इस चरण के दौरान आपकी मदद के लिए कई स्थैतिक एंड्रॉयड विश्लेषक हैं जो आपकी मदद कर सकते हैं।

गतिशील विश्लेषण

• पर्यावरण की तैयारी करें (ऑनलाइन, स्थानीय वीएम या फिजिकल)
• क्या कोई अनजान डेटा लीकेज है (लॉगिंग, कॉपी/पेस्ट, क्रैश लॉग्स)?
• SQLite डीबी में सहेजी गई गोपनीय जानकारी?
• उजागर गतिविधियाँ जिन्हें उत्पादित किया जा सकता है?
• उजागर कंटेंट प्रोवाइडर्स?
• उजागर सेवाएं?
• उजागर ब्रॉडकास्ट रिसीवर्स?
• क्या एप्लिकेशन स्पष्ट पाठ/कमजोर एल्गोरिथ्म का उपयोग करके जानकारी भेज रहा है? क्या MitM संभव है?
• HTTP/HTTPS ट्रैफिक की जांच करें
• यह बहुत महत्वपूर्ण है, क्योंकि आप एचटीटीपी ट्रैफिक को कैप्चर कर सकते हैं और सामान्य वेब दुरुपयोगों की खोज कर सकते हैं (हैकट्रिक्स में वेब वल्न्स के बारे में बहुत सारी जानकारी है)।
• संभावित एंड्रॉयड क्लाइंट साइड इंजेक्शन के लिए जांच करें (शायद कुछ स्थैतिक कोड विश्लेषण यहाँ मदद करेगा)
• फ्रिडा: बस फ्रिडा, इसका उपयोग करें ऐप्लिकेशन से रोचक गतिशील डेटा प्राप्त करने के लिए (शायद कुछ पासवर्ड...)

कुछ गोपनीयकरण/डीओबफस्केशन जानकारी

• यहाँ पढ़ें

वे सुरक्षा गंभीरता को खोजें जो सबसे महत्वपूर्ण है ताकि आप उन्हें तेजी से ठीक कर सकें। इंट