Dominci Posted May 16, 2021 Report Posted May 16, 2021 Salut, Am nevoie de niste sfaturi in vederea testarii securitatii unei aplicatii andorid dezvoltata de mine. Daca puteti sa imi recomandati niste tooluri automate cum ar fi Vega pentru testare web. Va multumesc! Quote
Nytro Posted May 16, 2021 Report Posted May 16, 2021 Salut, nu e chiar domeniul meu, dar nu cred ca exista tool-uri automate. Daca aplicatia e dezvoltata de tine, nu e nevoie de niciun tool in principiu ci doar de privire a acesteia din punctul de vedere al securitatii unde e important cam ce face aplicatia. Daca se conecteaza la o aplicatie web, comunicatia trebuie facuta doar prin HTTPS, certificatul trebuie validat iar daca datele pe care proceseaza sunt importante pentru utilizator ar fi necesar un SSL pinning (adica sa nu aiba incredere in orice Root CA de pe telefon). O alta masura de protectie pentru astfel de aplicatii e sa verifice ca un telefon nu este rootat. Astfel, previne un utilizator idiot care pe langa aceasta aplicatia importanta instaleaza toate mizeriile care contin malware, sa fure datele din aplicatie. Daca salveaza date pe card sau pe telefon, sa nu fie accesibile pentru orice aplicatie, daca nu se doreste explicit acest lucru in functie de ce face. Daca codul contine ceva complex, cum ar fi un algoritm propriu, obfuscarea sa ar putea ajuta (nu prea mult) la pastrarea putin ascunsa a acestui algoritm. Pentru unele aplicatii e necesara o autentificare. Dupa logare (care trebuie facuta "bine") se deschide aplicatia si utilizatorul isi vede datele "secrete". Daca o alta aplicatie poate deschide cu un intent (sau cum o fi exact asta) pagina de dupa autentificare, asta e un fel de "login bypass" si nu ar trebui sa se poata face. Aplicatia de asemenea poate contacta un serviciu web si daca acesta necesita cine stie ce, nu ar trebui sa fie hardcoded in aplicatii cine stie ce parole sau secrete. Cam asta imi vine in minte momentan, cauta mai bine niste checklist-uri, niste lucruri dupa care sa te uiti si iti poti da seama daca e totul in regula sau nu. Quote
Dominci Posted May 16, 2021 Author Report Posted May 16, 2021 Mi-au cerut la predare un raport de securitate si credeam ca exista niste tooluri automate, o sa le fac eu o demonstratie manuala, multumesc de sfaturile pe care mi le-ai lasat! Quote
SirGod Posted May 17, 2021 Report Posted May 17, 2021 Cel mai simplu ar fi sa folosesti MobSF: https://github.com/MobSF/Mobile-Security-Framework-MobSF Incarci APK si iti scoate un raport. Iti gaseste probleme de configurare si _potentiale_ vulnerabilitati. In principiu ar trebui verificate/validate. De exemplu, iti gaseste niste activitati neprotejate, dar poate sunt inutile. Sau iti gaseste folosirea unui API considerat insecure dar, la fel, poate nu este exploatabil in scenariul respectiv. 2 Quote
Dominci Posted May 22, 2021 Author Report Posted May 22, 2021 On 5/17/2021 at 9:17 AM, SirGod said: Cel mai simplu ar fi sa folosesti MobSF: https://github.com/MobSF/Mobile-Security-Framework-MobSF Incarci APK si iti scoate un raport. Iti gaseste probleme de configurare si _potentiale_ vulnerabilitati. In principiu ar trebui verificate/validate. De exemplu, iti gaseste niste activitati neprotejate, dar poate sunt inutile. Sau iti gaseste folosirea unui API considerat insecure dar, la fel, poate nu este exploatabil in scenariul respectiv. Multumesc frumos a mers perfect acest tool 1 Quote
