mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-30 08:30:57 +00:00
9.5 KiB
9.5 KiB
Android APK チェックリスト
Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築し、自動化します。
今すぐアクセスを取得:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- サイバーセキュリティ企業で働いていますか? HackTricksで会社を宣伝したいですか?または、最新バージョンのPEASSをダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
- The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
- 公式のPEASS&HackTricksグッズを手に入れましょう。
- 💬 DiscordグループまたはTelegramグループに参加するか、Twitterで🐦@carlospolopmをフォローしてください。
- ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリにPRを提出してください。
Androidの基礎を学ぶ
- 基本
- Dalvik & Smali
- エントリーポイント
- アクティビティ
- URLスキーム
- コンテンツプロバイダー
- サービス
- ブロードキャストレシーバー
- インテント
- インテントフィルター
- その他のコンポーネント
- ADBの使用方法
- Smaliの修正方法
静的解析
- 難読化の使用、ルート化されたモバイルのチェック、エミュレータの使用の有無、および防御チェックの確認。詳細はこちらを参照。
- 銀行アプリなどの機密アプリケーションは、モバイルがルート化されているかどうかをチェックし、それに応じて動作する必要があります。
- 興味深い文字列(パスワード、URL、API、暗号化、バックドア、トークン、Bluetooth UUIDなど)を検索します。
- FirebaseのAPIに特別な注意を払います。
- マニフェストを読む:
- アプリケーションがデバッグモードになっているかどうかをチェックし、それを「悪用」しようとします
- APKがバックアップを許可しているかどうかをチェックします
- エクスポートされたアクティビティ
- コンテンツプロバイダー
- 公開されたサービス
- ブロードキャストレシーバー
- URLスキーム
- アプリケーションが内部または外部で安全にデータを保存しているかどうかを確認しますか?
- パスワードがハードコードされているかディスクに保存されているかを確認しますか?アプリは安全でない暗号アルゴリズムを使用していますか?
- すべてのライブラリはPIEフラグでコンパイルされていますか?
- このフェーズで非常に役立つ静的Androidアナライザーがいくつかありますので、忘れないでください。
動的解析
- 環境を準備する(オンライン、ローカルVMまたは物理的な環境)
- 意図しないデータの漏洩(ログ、コピー/貼り付け、クラッシュログ)はありますか?
- SQLiteデータベースに保存されている機密情報はありますか?
- 悪用可能な公開アクティビティはありますか?
- 悪用可能なコンテンツプロバイダーはありますか?
- 悪用可能な公開サービスはありますか?
- 悪用可能なブロードキャストレシーバーはありますか?
- アプリケーションが平文で情報を送信/弱いアルゴリズムを使用していませんか?MitMが可能ですか?
- HTTP/HTTPSトラフィックを検査します
- これは非常に重要です。HTTPトラフィックをキャプチャできれば、一般的なWebの脆弱性を検索できます(HacktricksにはWebの脆弱性に関する多くの情報があります)。
- 可能なAndroidクライアントサイドインジェクションをチェックします(おそらく静的コード解析がここで役立つでしょ
一部の難読化/難読化解除の情報
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- サイバーセキュリティ会社で働いていますか? HackTricksで会社を宣伝したいですか?または、PEASSの最新バージョンを入手したり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
- The PEASS Familyを発見しましょう、私たちの独占的なNFTのコレクション
- 公式のPEASS&HackTricksのグッズを手に入れましょう
- 💬 Discordグループまたはtelegramグループに参加するか、Twitterで私をフォローしてください🐦@carlospolopm.
- ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリにPRを提出してください。
Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築し、自動化します。
今すぐアクセスを取得:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}