En Önemli Android Uygulama Sızma Testi Kontrol Listesi

   Temmuz 29, 2022  Posted in GBHackers


Android Penetrasyon testi

Android, herhangi bir mobil platformun en büyük organize üssüdür ve her gün hızla gelişmektedir. Ayrıca Android, farklı nedenlerle bu bakış açısıyla en geniş işletim sistemi olarak yükseliyor.

Ancak, güvenlik açısından, bu aşamanın olağanüstü bir saldırı yüzeyine sahip olduğu fark edildiğinden, bu aşamada zayıf bir programlamaya yol açabilecek yeni güvenlik açıklarıyla ilgili hiçbir veri ortaya çıkmamaktadır.

Ayrıca Okuyun: Web Sunucusu Sızma Testi Kontrol Listesi

Bilgi toplama

Bilgi Toplama, bir uygulama güvenlik testinin en temel adımıdır. Güvenlik testi, makul olarak mümkün olduğu kadar kod tabanının çoğunu test etmeye çalışmalıdır.

DÖRT

Bu nedenle, kapsamlı testleri teşvik etmek için kod aracılığıyla akla gelebilecek her yolu eşleştirmek esastır.

  • Genel bilgi. Genel uygulama bilgilerinin özeti.
  • Ortak Kitaplıklar ve Parmak İzi Testi.
  • Uygulama bileşenlerinin ve Bileşen yetkilerinin özeti.
  • Uygulama Kodunda Tersine Mühendislik.

Uygulama Yerel Depolama Kusurları

Android, ısrarcı uygulama bilgilerini yedeklemeniz için size birkaç alternatif sunar. Seçtiğiniz depolama, özel ihtiyaçlarınıza bağlıdır.

Örneğin, bilgilerin uygulamanıza özel mi yoksa farklı uygulamalara (ve istemciye) mi açık olması gerektiğine ve verilerinizin ne kadar alan gerektirdiğine bakılmaksızın.

  • Günlüklerde ve önbellekte bulunan mantıklı veriler.
  • Hassas Verileri Paylaşılan Depolama Alanına Yerleştirme (tüm uygulamalara herhangi bir kısıtlama olmaksızın sunulur).
  • İçerik Sağlayıcılar SQL Enjeksiyon ve Erişim İzinleri.
  • Oturumu kapattıktan sonra bile hassas verilerin orada kalıp kalmadığını kontrol edin.
  • Gizlilik ve Meta Veri Sızıntıları.

Ayrıca Okuyun: Ağ Sızma Testi Kontrol Listesi

taşıma katmanı Güvenliği

Aktarım Katmanı Güvenliği ile şifreleme, mesajlarınız havadayken meraklı gözlerden uzak durmaya devam eder. TLS, hem gelen hem de giden trafik verileri için verileri güvenli bir şekilde kodlayan ve ileten bir protokoldür, casusluğu önler.

  • Eski Güvensiz Aktarım Katmanı Protokolleri.
  • TLS Zayıf Şifreleme(CRIME, BREACH, BEAST, Lucky13, RC4, vb.) (sslscan, sslyze, osaft vb.) gibi araçlarla bulunabilir.
  • Güvensiz Veri Depolama.
  • TLS Sertifika Sabitlemeyi Atlama.
  • TLS Özgünlük Kusurları.

IPC Güvenliği (Süreçler arası iletişim)

Android IPC mekanizmaları, IPC’nize bağlanan uygulamanın kimliğini doğrulamanıza ve her IPC mekanizması için güvenlik politikası belirlemenize olanak tanır.

  • Cihaz Hizmet Reddi saldırıları.
  • İzinler ve Dijital İmza Veri Paylaşımı Sorunları.
  • Yasal olmayan bir uygulama hassas verilere erişim sağlayabilir.
  • Gizli Bileşenler ve Uygulamalar Arası Yetkilendirme.

Güvenilmeyen Kod

  • Uygulama hata mesajında ​​açıklanan hassas bilgiler.
  • Web Görünümlerinde JavaScript Yürütme Riskleri.
  • AndroidManifest.xml dosyası aracılığıyla uygulama tarafından belirlenen güvenli olmayan izinler.
  • Tamsayı, Yığın ve Yığın Tabanlı Arabellek Taşması.

Kimlik Doğrulama Kusurları

Kimlik doğrulama bu prosedürün temel bir parçasıdır, ancak parola değişikliği, parolamı unuttum, parolamı hatırla, hesap güncelleme ve diğer ilgili işlevler dahil olmak üzere kusurlu kimlik bilgisi yönetimi işlevleri güçlü doğrulama kimlik doğrulamasını zayıflatabilir.

  • Kimlik Doğrulama Tutarsızlığı.
  • Çapraz Uygulama Kimlik Doğrulaması.
  • Oturum işleme hataları.
  • İstemci Tarafına Dayalı Kimlik Doğrulama Kusurları.
  • Hesap kilitleme politikasının olmaması.

İş mantığı güvenlik açığı

Kodlama yerine tasarım merkezli bileşenler içeren güvenlik açıkları dahil edilmiştir. Hem yürütme hilesi hem de uygulamanın çalışma sürecini şaşırtıcı bir şekilde etkileme kapasitesi dahil edilmiştir.

  • Sunucu tarafı doğrulamasını kontrol edin.
  • Yönetici/kullanıcı hesabı uzlaşması.
  • Kök algılama yöntemini kontrol edin/atlayın.
  • Bruteforce kimlik doğrulaması.

Sızma Testi Android Sunucu tarafı kontrolleri

  • İstemci tarafı enjeksiyonunu (XSS) kontrol edin.
  • Kullanıcı adı numaralandırma.
  • SQL enjeksiyonu
  • Kötü amaçlı dosya yükleme.
  • Tüm HTTP yöntemlerini kontrol edin (PUT, DELETE vb. HTTP fiil kurcalamayı kullanarak burp davetsiz misafir kullanın).
  • Oturum yönetimini kontrol edin (çerez kusurları, oturumu geçersiz kılma, oturum sabitleme vb.).
  • CAPTCHA uygulama kusurları ve atlama.
  • Run nikto, dirb websever scanner.

Açık Android Güvenlik Değerlendirme Metodolojisi

Android Güvenlik kontrolleri, aşağıdaki konuda referans çerçevesi için aşağıdaki bölümde yapılandırılmıştır: Android uygulama güvenlik açığı değerlendirmeleri.

  • OASAM-BİLGİ: Bilgi Toplama: Bilgi toplama ve saldırı yüzeyi tanımı.
  • OASAM-CONF: Yapılandırma ve Dağıtım Yönetimi: Yapılandırma ve dağıtım değerlendirmesi.
  • OASAM-AUTH: Kimlik doğrulama: Kimlik doğrulama değerlendirmesi.
  • OASAM-CRYPT: Kriptografi: Kriptografi kullanım değerlendirmesi.
  • OASAM KAÇAĞI: Bilgi Sızıntısı: Gizli bilgi sızıntısı değerlendirmesi.
  • OASAM-DV: Veri Doğrulama: Kullanıcı girişi yönetimi değerlendirmesi.
  • OASAM-İŞ: Intent Spoofing: Intent alım yönetimi değerlendirmesi.
  • OASAM-UIR: Yetkisiz Niyet Makbuzu: Niyet çözüm değerlendirmesi.
  • OASAM-BL İş Mantığı: Uygulama iş mantığı değerlendirmesi.



Source link