Android APP安全测试入门

作者:Secer 发布时间:April 7, 2016 分类:手机安全

背景

最近这两年移动端真是非常火,每个单位或多或少都会有那么几款App,对于我们Web安全攻城师来说,App安全也需要或多或少的了解一些。年初单位来了一位对App安全略有研究的小伙伴,某日闲来无事教了笔者几招,分享给大家。有句古语:”工欲善其事,必先利其器”,我们要研究App安全,没有几款高大上的神器是会非常麻烦的,因此本文主要给大家分享一下笔者学到的一些基础知识,主要是一些移动端测试辅助工具的使用。

模拟器

模拟器笔者经常使用有两款,一款是BlueStacks,这款个人感觉是做的非常不错的,一般安装操作App非常流畅,不会有卡死的情况。另外一款就是SDK模拟器(Software Development Kit)了,这款是特别高大上的,类似虚拟机vm一样,可以建立多个虚拟机,安装不同的android系统。

BlueStacks

下载地址:

http://www.bluestacks.net.cn/Download/

安装的时候会提示安装”给力助手”,给力助手是辅助操作的,可以安装电脑上下载的app安装包到模拟器,也可以卸载已经安装的,还有很多针对模拟器的设置功能,如图:

clip_image001

BlueStacks安装之后,安装APP,打开App界面如图:

clip_image002

功能方面使用都非常简单,本文就不做介绍了。

Software Development Kit

下载地址:

http://developer.android.com/sdk/index.html

下载之后打开包中的eclipse,然后进行模拟器Android镜像的下载,包中自带的镜像是Android 5.0的镜像,建议下载老版本的,方便测试App,新版的镜像部分App在安装的过程中可能会有不兼容的情况。
SDK Android镜像的下载如下图所示:

clip_image003

阅读剩余部分...

通过IOS/Android App获取APP后端数据

作者:Secer 发布时间:October 21, 2015 分类:手机安全

本文原创作者:bt0sea

clip_image001

0×00、业务需求

移动应用产业以爆炸性的速度呈指数增长,但移动应用的安全问题落后于应用的发展速度。由于黑客事件变得越来越公开,对企业的影响比以往任何时候都更大。黑客渗透获取用户敏感数据后,出于商业目的销售,或者公开。所以,在移动APP端对企业数据的保护尤为重要。

P2P网站、金融等相关的网站、APP保存着用户的身份信息(真实姓名、身份证号、手机号、征信证明、银行流水等)。目前趋势是移动APP漏洞层出不穷,今天的移动安全相当于十年前web服务器安全的级别。基本上可以得出这样的结论:根据权威机构评估,平均每一个移动APP应用大约有3.5个安全漏洞,Apk 就是open source code代名词。

但是,单纯研究Mobile APP安全性问题,无法利用高危,获得服务器端的数据。所以,在分析移动APP漏洞的同时,要重点分析连接移动APP的RESTful API Web service。为什么要提RESTful API Web service呢?普通web架构+JSON不就成了么?经过分析大部分有价值数据的网站都是使用RESTful API Web service。这是热需求。

咱们先看看哪些大咖用这种设计架构,github/fackbook等。不了解RESTful API Web Service的同学请参考:

http://www.ruanyifeng.com/blog/2014/05/restful_api.html

0×01、研究手段

一、破解思路:

其实重点突破RESTful API Web Service 还是通过iOS/Android App。由于很多高大上的网站为了安全性,把Web网站和移动APP隔离,发现使用http(s)://api(OpenApi).xxx.com/login/v1?phone=13811110000&sgin=022BEC9EE1B935B50D1193A07A3AD7B2。都是通过移动APP抓到的包。所以,我们先看看移动端安全风险主要有哪些,我们如何下手,其实OWASP Mobile Top 10 Risks给我们指引了方向:

M1: 不安全的服务器端访问控制

M2: 不安全的数据存储

M3: 传输层保护不足

M4: 非预期的数据泄露

M5: 脆弱的认证和授权

M6: 已知的弱加密算法

M7: 客户端注入

M8: 通过不被信任的输入改变安全设定

M9: 会话处理不当

M10: 缺乏二进制保护

虽然说官网总结的很好,但是对于服务器端渗透从字面上只有M1。但是个人觉得需要配合APP破解才能达到最佳效果。那么,具体应该怎么操作呢?

M1:不安全的服务器端访问控制

(1)通过android移动APP程序攻击服务器端业务逻辑。

(2)验证服务器端对输入校验。

(3)通用 SQL注入 XSS跨站脚本,不安全的认证检查。

(4)通过代理方式操纵伪造数据提交。

当然要配合M2相关内容。

M2:不安全的数据存储

(1)敏感信息:用户名、密码、加密key、信用卡信息、session识别码、token等。

(2)个人信息:手机号、家庭住址、电子邮件、位置信息等。

(3)还有一些可能包含敏感信息的文件存储:SQLite databases 、Log Files 、XML Data Stores or Manifest Files 、Binary data stores 、SD Card、Cloud

二、具体攻击方法

阅读剩余部分...

Pocket Hacking: NetHunter实战指南

作者:Secer 发布时间:January 25, 2015 分类:工具视频,手机安全

0x00 前言


许多朋友都希望Hacking套件可以很方便的从PC移植到更便携的手机或平板电脑上,而Offensive Security团队发布的Kali NetHunter则将这一期待变为现实,通过移动终端随时随地进行Hacking,暂且美其名曰口袋Hacking.

Kali NetHunter是以Nexus(手机/平板)为基本硬件设备(新增对1+手机的支持),基于原生Android实现的便携渗透测试平台.熟悉的Kali使其易于上手,而图形化控制界面则使某些测试更易.基于此平台,工程师们也可自由发挥,加入个人项目.

关于NetHunter国内外文章相对较少且重复度高,故在此将其主要实战技巧加以整理介绍,以备各位爱好者参考.由于资料不足,难免出错之处,如有疏漏错误,望不吝赐教.

0x01 硬件支持


NetHunter官网给出以下支持刷入NetHunter的手机:

Nexus 4 (GSM) - "mako"
Nexus 5 (GSM/LTE) - "hammerhead"
Nexus 7 [2012] (Wi-Fi) - "nakasi"
Nexus 7 [2012] (Mobile) - "nakasig"
Nexus 7 [2013] (Wi-Fi) - "razor"
Nexus 7 [2013] (Mobile) - "razorg"
Nexus 10 (Tablet) - "mantaray"
OnePlus One 16 GB - "bacon"
OnePlus One 64 GB - "bacon"

值得一提的是,2015年NetHunter更新,由于1+手机的廉价与高性能,其被加入支持列表.用1+手机的朋友有福了,以下刷机以Nexus5为例.

0x02 刷机流程


官网给出几种刷机方式,推荐使用Windows引导刷机程序安装.下载地址:

https://www.kali.org/offsec-nethunter-installer/Kali_v1.1.6.sfx.exe

打开安装引导程序,默认路径安装

clip_image001[13]

安装后自动运行NetHunter Installer并更新,进入引导安装步骤

· Step1,选择已有硬件设备型号.

clip_image002[13]

· Step2,安装驱动

clip_image003[13]

clip_image004[12]

可以通过Test Drivers测试是否安装成功

· Step3,安装选项

clip_image001[15]

如已经通过官网下载过刷机包,通过Browser选择文件.下载链接 http://www.offensive-security.com/kali-linux-nethunter-download/ 下载后记得校验SHA1值.至于Android Flash Setting,因为对Android L的支持还未完成,故尚未开放选择.

· Step4,下载文件

clip_image002[15]

如图示,下载所有依赖文件.

clip_image003[15]

所有依赖包都为Ready可进入下一步刷机.

· Step5,解锁设备

clip_image004[14]

解锁bootloader,注意需设置允许USB调试,手机会重启解锁.

阅读剩余部分...

iOS Hacking Course

作者:Secer 发布时间:September 1, 2014 分类:手机安全

http://hackingdemystified.com/ios-course/