Damn Vulnerable Bank: Bài lab cho thực hành Pentest ứng dụng Android

Thảo luận trong 'Infrastructure security' bắt đầu bởi DDos, 05/12/21, 05:12 PM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 2,068
    Đã được thích: 493
    Điểm thành tích:
    83
    Android là hệ điều hành di động phổ biến nhất trên thế giới, với khoảng 2.5 tỷ thiết bị. Nếu so với hệ điều hành iOS, Android được coi là kém bảo mật hơn bởi tính "mở" của nó. Thử nghiệm thâm nhập ứng dụng Android là một lĩnh vực khá được quan tâm.

    Android-Penetration-Testing.jpg

    Tuy nhiên, các tài liệu đào tạo và các bài lab ở mảng này khá là ít. Do đó, mình muốn giới thiệu với các bạn ứng dụng Damn Vulnerable Bank. Ứng dụng này đã được trình diễn tại hội nghị bảo mật BlackHat EU 2021.

    aaa.jpg

    Ngoài các lỗ hổng trong OWASP, Damn Vulnerable Bank còn bao gồm nhiều bài lab liên quan đến phân tích nhị phân, bỏ qua phát hiện trình gỡ lỗi, phân tích Frida, viết mã tùy chỉnh để giải mã dữ liệu.

    bbbb.jpg

    Các bài lab bao gồm:
    • Phát hiện root và trình giả lập
    • Kiểm tra chống gỡ lỗi (ngăn kết nối với Frida, jdb, v.v.)
    • Làm rối toàn bộ
    • Mã hóa tất cả các yêu cầu và phản hồi
    • Thông tin nhạy cảm được mã hóa cứng
    • Rò rỉ logcat
    • Lỗi trong đối tượng view (Webview) trong Android
    • Liên kết sâu (Deep links)
    • Trích xuất Activity
    Để cài đặt bài lab, bạn đơn giản chỉ cần tải tệp apk tại đây. Sau đó, tiến hành cài đặt trên máy ảo hoặc máy thật như một ứng dụng bình thường.

    Nếu bạn gặp khó khăn trong các bài lab, hoặc không thể khai thác được các lỗ hổng tồn tại trong đó, bạn có thể tham khảo hướng dẫn chi tiết của tác giả.
     
    Last edited by a moderator: 09/12/21, 09:12 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. Sugi_b3o
  2. DDos
  3. DDos
  4. WhiteHat Team
  5. whf