Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении

99 views

Published on

С каждым годом мобильных приложений становится все больше, но мало кто обращает внимание на безопасность этого приложения, когда оно находится в процессе разработки. Так как бизнес нацелен только на то, чтобы оторвать большую часть пользователей, которые будут использовать это приложение, они обращают внимание на конфиденциальность своих клиентов в последнюю очередь. В своем докладе я расскажу как мануал QA может проверить мобильное приложение на уязвимости и найти топовые дыры по рейтингу OWASP. В презентации будут использованы такие тулзы Santoku Linux + Genymotion.

Published in: Education
  • Be the first to comment

  • Be the first to like this

QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении

  1. 1. QA CONFERENCE #1 IN UKRAINE KYIV 2019 Как найти уязвимости в мобильном приложении Android
  2. 2. - QA gangsta Lead в - Больше 4 лет тестирую на наличие Web уязвимостей - Больше 7 лет в тестировании - Провожу обучение по Security testing https://svyat.tech/OWASP-TOP-10-Training/ - Веду блог по Security testing https://svyat.tech Свят Логин
  3. 3. В evo.company входят такие проекты:
  4. 4. Немного статистики
  5. 5. Статистика уязвимостей Android по годам https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224
  6. 6. Статистика уязвимостей IOS по годам https://www.cvedetails.com/product/19/Cisco-IOS.html?vendor_id=16
  7. 7. Статистика уязвимостей Android по типу https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224
  8. 8. Статистика уязвимостей IOS по типу https://www.cvedetails.com/product/19/Cisco-IOS.html?vendor_id=16
  9. 9. Использование версий Андроид
  10. 10. Mobile OWASP TOP 10 M1 Обход архитектурных ограничений (Improper Platform Usage) M2 Небезопасное хранение данных (Insecure Data Storage) M3 Небезопасная передача данных (Insecure Communication) M4 Небезопасная аутентификация (Insecure Authentication) M5 Слабая криптостойкость (Insufficient Cryptography) M6 Небезопасная авторизация (Insecure Authorization) M7 Контроль содержимого клиентских приложений (Client Code Quality) M8 Модификация данных (Code Tampering) M9 Анализ исходного кода (Reverse Engineering) M10 Скрытый функционал (Extraneous Functionality)
  11. 11. Mobile OWASP TOP 10 2018
  12. 12. Уровни безопасности Андроид 1) В операционной системе - держит установленные приложения изолированными друг от друга 2) В самом приложении - настройка доступа приложения к другим приложениям
  13. 13. Инструментарий
  14. 14. Инструментарий (Genymotion)
  15. 15. Genymotion
  16. 16. Genymotion (Версия > 5) Рутированный
  17. 17. Инструментарий (Santoku)
  18. 18. 1) M9 Reverse Engineering
  19. 19. 1) M9 Reverse Engineering
  20. 20. 1) M9 Reverse Engineering
  21. 21. 2) M1 Improper Platform Usage
  22. 22. 2) M1 Improper Platform Usage
  23. 23. 3) M2 Insecure Data Storage
  24. 24. 3) Проблемы хранения 1) Хранения конфиденциальных данных без крипты 2) Апки могут делится данными с другими апками: - /data/data/[название пакета]/ - Базе данных - Временным файлам
  25. 25. 3) M2 Insecure Data Storage
  26. 26. 4) M3 Insecure Communication
  27. 27. 4) Важность протокола
  28. 28. 4) Плохой вид передачи данных
  29. 29. 4) Хороший вид передачи данных
  30. 30. 5) M5 Insufficient Cryptography
  31. 31. 5) M9 Reverse Engineering
  32. 32. 5) online decrypt
  33. 33. 6) M4 Insecure Authentication + M6 Authorization
  34. 34. SQL i6) M4 Insecure Authentication + M6 Authorization App Admin User Supervisor Manager User Admin Just User User Supervisor User Manager web_app.com/ admin/ web_app.com/order/1235
  35. 35. Инструментарий Burp Suite
  36. 36. 6) Подбор данных
  37. 37. 7) M7 Client Code Quality
  38. 38. 7) M7 Client Code Quality
  39. 39. 7) M7 Client Code Quality
  40. 40. 7) M9 Reverse Engineering
  41. 41. 8) M8 Code Tampering
  42. 42. 8) M9 Reverse Engineering
  43. 43. 8) M8 Code Tampering
  44. 44. 9) M10 (Extraneous Functionality) Hard Coding
  45. 45. 9) M10 (Extraneous Functionality)
  46. 46. Инструментарий Drozer
  47. 47. Коннект к девайсу с ОС
  48. 48. Список всех команд Drozer
  49. 49. Проверка какие проги установлены
  50. 50. Нахождения слабого места
  51. 51. Контент в открытом доступе
  52. 52. Профит презентахи Всего за 40 минут, вы потеряли 40 минут)))
  53. 53. KYIV 2019 Спасибо за внимание! svyat.tech WITH PASSION TO QUALITY QA CONFERENCE #1IN UKRAINE

×