Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
QA CONFERENCE #1 IN UKRAINE
KYIV 2019
Как найти уязвимости в мобильном
приложении Android
- QA gangsta Lead в
- Больше 4 лет тестирую на наличие Web уязвимостей
- Больше 7 лет в тестировании
- Провожу обучение по...
В evo.company входят такие проекты:
Немного статистики
Статистика уязвимостей Android по годам
https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224
Статистика уязвимостей IOS по годам
https://www.cvedetails.com/product/19/Cisco-IOS.html?vendor_id=16
Статистика уязвимостей Android по типу
https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224
Статистика уязвимостей IOS по типу
https://www.cvedetails.com/product/19/Cisco-IOS.html?vendor_id=16
Использование версий Андроид
Mobile OWASP TOP 10
M1 Обход архитектурных ограничений (Improper Platform Usage)
M2 Небезопасное хранение данных (Insecure...
Mobile OWASP TOP 10 2018
Уровни безопасности Андроид
1) В операционной системе
- держит установленные приложения
изолированными друг от друга
2) В ...
Инструментарий
Инструментарий (Genymotion)
Genymotion
Genymotion (Версия > 5)
Рутированный
Инструментарий (Santoku)
1) M9 Reverse Engineering
1) M9 Reverse Engineering
1) M9 Reverse Engineering
2) M1 Improper Platform Usage
2) M1 Improper Platform Usage
3) M2 Insecure Data Storage
3) Проблемы хранения
1) Хранения конфиденциальных данных без крипты
2) Апки могут делится данными с другими апками:
- /dat...
3) M2 Insecure Data Storage
4) M3 Insecure Communication
4) Важность протокола
4) Плохой вид передачи данных
4) Хороший вид передачи данных
5) M5 Insufficient Cryptography
5) M9 Reverse Engineering
5) online decrypt
6) M4 Insecure Authentication + M6 Authorization
SQL i6) M4 Insecure Authentication + M6 Authorization
App
Admin
User
Supervisor
Manager
User Admin
Just User
User Supervis...
Инструментарий Burp Suite
6) Подбор данных
7) M7 Client Code Quality
7) M7 Client Code Quality
7) M7 Client Code Quality
7) M9 Reverse Engineering
8) M8 Code Tampering
8) M9 Reverse Engineering
8) M8 Code Tampering
9) M10 (Extraneous Functionality) Hard Coding
9) M10 (Extraneous Functionality)
Инструментарий Drozer
Коннект к девайсу с ОС
Список всех команд Drozer
Проверка какие проги установлены
Нахождения слабого места
Контент в открытом доступе
Профит презентахи
Всего за 40 минут, вы потеряли 40 минут)))
KYIV 2019
Спасибо за внимание!
svyat.tech
WITH PASSION TO QUALITY QA CONFERENCE #1IN UKRAINE
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
Upcoming SlideShare
Loading in …5
×

of

QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 1 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 2 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 3 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 4 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 5 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 6 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 7 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 8 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 9 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 10 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 11 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 12 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 13 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 14 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 15 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 16 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 17 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 18 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 19 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 20 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 21 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 22 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 23 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 24 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 25 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 26 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 27 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 28 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 29 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 30 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 31 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 32 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 33 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 34 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 35 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 36 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 37 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 38 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 39 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 40 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 41 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 42 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 43 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 44 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 45 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 46 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 47 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 48 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 49 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 50 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 51 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 52 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 53 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 54 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 55 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 56 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 57 QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении Slide 58
Upcoming SlideShare
What to Upload to SlideShare
Next

0 Likes

Share

QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении

С каждым годом мобильных приложений становится все больше, но мало кто обращает внимание на безопасность этого приложения, когда оно находится в процессе разработки. Так как бизнес нацелен только на то, чтобы оторвать большую часть пользователей, которые будут использовать это приложение, они обращают внимание на конфиденциальность своих клиентов в последнюю очередь. В своем докладе я расскажу как мануал QA может проверить мобильное приложение на уязвимости и найти топовые дыры по рейтингу OWASP. В презентации будут использованы такие тулзы Santoku Linux + Genymotion.

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении

  1. 1. QA CONFERENCE #1 IN UKRAINE KYIV 2019 Как найти уязвимости в мобильном приложении Android
  2. 2. - QA gangsta Lead в - Больше 4 лет тестирую на наличие Web уязвимостей - Больше 7 лет в тестировании - Провожу обучение по Security testing https://svyat.tech/OWASP-TOP-10-Training/ - Веду блог по Security testing https://svyat.tech Свят Логин
  3. 3. В evo.company входят такие проекты:
  4. 4. Немного статистики
  5. 5. Статистика уязвимостей Android по годам https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224
  6. 6. Статистика уязвимостей IOS по годам https://www.cvedetails.com/product/19/Cisco-IOS.html?vendor_id=16
  7. 7. Статистика уязвимостей Android по типу https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224
  8. 8. Статистика уязвимостей IOS по типу https://www.cvedetails.com/product/19/Cisco-IOS.html?vendor_id=16
  9. 9. Использование версий Андроид
  10. 10. Mobile OWASP TOP 10 M1 Обход архитектурных ограничений (Improper Platform Usage) M2 Небезопасное хранение данных (Insecure Data Storage) M3 Небезопасная передача данных (Insecure Communication) M4 Небезопасная аутентификация (Insecure Authentication) M5 Слабая криптостойкость (Insufficient Cryptography) M6 Небезопасная авторизация (Insecure Authorization) M7 Контроль содержимого клиентских приложений (Client Code Quality) M8 Модификация данных (Code Tampering) M9 Анализ исходного кода (Reverse Engineering) M10 Скрытый функционал (Extraneous Functionality)
  11. 11. Mobile OWASP TOP 10 2018
  12. 12. Уровни безопасности Андроид 1) В операционной системе - держит установленные приложения изолированными друг от друга 2) В самом приложении - настройка доступа приложения к другим приложениям
  13. 13. Инструментарий
  14. 14. Инструментарий (Genymotion)
  15. 15. Genymotion
  16. 16. Genymotion (Версия > 5) Рутированный
  17. 17. Инструментарий (Santoku)
  18. 18. 1) M9 Reverse Engineering
  19. 19. 1) M9 Reverse Engineering
  20. 20. 1) M9 Reverse Engineering
  21. 21. 2) M1 Improper Platform Usage
  22. 22. 2) M1 Improper Platform Usage
  23. 23. 3) M2 Insecure Data Storage
  24. 24. 3) Проблемы хранения 1) Хранения конфиденциальных данных без крипты 2) Апки могут делится данными с другими апками: - /data/data/[название пакета]/ - Базе данных - Временным файлам
  25. 25. 3) M2 Insecure Data Storage
  26. 26. 4) M3 Insecure Communication
  27. 27. 4) Важность протокола
  28. 28. 4) Плохой вид передачи данных
  29. 29. 4) Хороший вид передачи данных
  30. 30. 5) M5 Insufficient Cryptography
  31. 31. 5) M9 Reverse Engineering
  32. 32. 5) online decrypt
  33. 33. 6) M4 Insecure Authentication + M6 Authorization
  34. 34. SQL i6) M4 Insecure Authentication + M6 Authorization App Admin User Supervisor Manager User Admin Just User User Supervisor User Manager web_app.com/ admin/ web_app.com/order/1235
  35. 35. Инструментарий Burp Suite
  36. 36. 6) Подбор данных
  37. 37. 7) M7 Client Code Quality
  38. 38. 7) M7 Client Code Quality
  39. 39. 7) M7 Client Code Quality
  40. 40. 7) M9 Reverse Engineering
  41. 41. 8) M8 Code Tampering
  42. 42. 8) M9 Reverse Engineering
  43. 43. 8) M8 Code Tampering
  44. 44. 9) M10 (Extraneous Functionality) Hard Coding
  45. 45. 9) M10 (Extraneous Functionality)
  46. 46. Инструментарий Drozer
  47. 47. Коннект к девайсу с ОС
  48. 48. Список всех команд Drozer
  49. 49. Проверка какие проги установлены
  50. 50. Нахождения слабого места
  51. 51. Контент в открытом доступе
  52. 52. Профит презентахи Всего за 40 минут, вы потеряли 40 минут)))
  53. 53. KYIV 2019 Спасибо за внимание! svyat.tech WITH PASSION TO QUALITY QA CONFERENCE #1IN UKRAINE

С каждым годом мобильных приложений становится все больше, но мало кто обращает внимание на безопасность этого приложения, когда оно находится в процессе разработки. Так как бизнес нацелен только на то, чтобы оторвать большую часть пользователей, которые будут использовать это приложение, они обращают внимание на конфиденциальность своих клиентов в последнюю очередь. В своем докладе я расскажу как мануал QA может проверить мобильное приложение на уязвимости и найти топовые дыры по рейтингу OWASP. В презентации будут использованы такие тулзы Santoku Linux + Genymotion.

Views

Total views

575

On Slideshare

0

From embeds

0

Number of embeds

0

Actions

Downloads

0

Shares

0

Comments

0

Likes

0

×