Aplikazio mugikorretarako pentesting-en hastapena saiatu gabe
Celia Catalán.jpg "Pentesting para aplicaciones moviles")
Pentesting mugikorrari buruz hitz egiten hasi baino lehen, oinarriak ezarri eta aplikazioaren analisi estatikoa eta analisi dinamikoa bereizi behar ditugu. Baina ez APK baten egituraz hitz egin aurretik.
APK bat desmuntatzeko prozesuari deskonpresio deritzo eta prozesu honen bidez gure bitarren barnera sartu gaitezke:
Horretarako, nahikoa izango litzateke:
deskonprimitu APP.apk -d irteera-deskonprimitu
apktool d APP.apk -o output-apktool
Iturburu-kodea deskonpilatzeko orduan, bi modu ditugu, alde batetik .smali sor dezakegu, hau da, gizakientzat "irakur daitekeen" bytecodea (apktool), edo interpretatutako .java sor dezakegu, ez da jatorrizko iturria. kodea, baina guk Aplikazioaren logika errazago ulertzen laguntzen du (jadx).
Iturburu-kodea gurekin dugunean, mugikorreko pentesting-a egiterakoan kontuan hartu beharreko bi analisi-motei buruz hitz egingo dugu.
Analisi estatikoa vs dinamikoa
Analisi estatikoan, aplikazioa kode mailan eta aplikazioarekin interakziorik gabe aztertzen da, eta analisi dinamikoa exekuzioan berrikusten da, funtzionalitateekin elkarreraginean.
Analisi estatikoa
Jadx tresnarekin informazio sentikorra bilatzen saiatuko gara:
- Gako-hitzak edo kode-eredu zaurgarriak.
- Kredentzialak / api gakoak.
- Url/amaiera-puntuak.
- Funtzio garrantzitsuen identifikazioa: autentifikazioa, egoera-aldaketak, PII.
- Arazte funtzioaren identifikazioa. Kodean iruzkinak egotea.
- Funtzio arriskutsuen identifikazioa: kanpoko biltegiratzea, kodearen exekuzioa. Higienizazioa.
- Gogor kodetutako sekretuak.
Automatikoa
Aurreko analisi guztia honako tresna honekin (MobSF) automatizatu daiteke:
Pentesting mugikorrei buruz hitz egitean osagai interesgarri batzuk daude (aurreko irudian Mobsf-ek identifikatuta), eta denbora ulertzeko gomendatzen dizugu (jarduerak, hornitzaileak, hartzaileak eta esporta daitezkeen zerbitzuak). Hurrengo artikuluan esporta daitezkeen jarduerei buruz hitz egingo dugu.
Xuquiang Liu Xu, Pentester Jr. Zerolynx eta Alejandro Auñón, Zerolynxko Segurtasun Iraingarriaren Analista.
