Android, herhangi bir mobil platformun en büyük organize üssüdür ve her gün hızla gelişmektedir. Ayrıca Android, farklı nedenlerle bu bakış açısıyla en geniş işletim sistemi olarak yükseliyor.
Ancak, güvenlik açısından, bu aşamanın olağanüstü bir saldırı yüzeyine sahip olduğu fark edildiğinden, bu aşamada zayıf bir programlamaya yol açabilecek yeni güvenlik açıklarıyla ilgili hiçbir veri ortaya çıkmamaktadır.
Ayrıca Okuyun: Web Sunucusu Sızma Testi Kontrol Listesi
Bilgi toplama
Bilgi Toplama, bir uygulama güvenlik testinin en temel adımıdır. Güvenlik testi, makul olarak mümkün olduğu kadar kod tabanının çoğunu test etmeye çalışmalıdır.
Bu nedenle, kapsamlı testleri teşvik etmek için kod aracılığıyla akla gelebilecek her yolu eşleştirmek esastır.
- Genel bilgi. Genel uygulama bilgilerinin özeti.
- Ortak Kitaplıklar ve Parmak İzi Testi.
- Uygulama bileşenlerinin ve Bileşen yetkilerinin özeti.
- Uygulama Kodunda Tersine Mühendislik.
Uygulama Yerel Depolama Kusurları
Android, ısrarcı uygulama bilgilerini yedeklemeniz için size birkaç alternatif sunar. Seçtiğiniz depolama, özel ihtiyaçlarınıza bağlıdır.
Örneğin, bilgilerin uygulamanıza özel mi yoksa farklı uygulamalara (ve istemciye) mi açık olması gerektiğine ve verilerinizin ne kadar alan gerektirdiğine bakılmaksızın.
- Günlüklerde ve önbellekte bulunan mantıklı veriler.
- Hassas Verileri Paylaşılan Depolama Alanına Yerleştirme (tüm uygulamalara herhangi bir kısıtlama olmaksızın sunulur).
- İçerik Sağlayıcılar SQL Enjeksiyon ve Erişim İzinleri.
- Oturumu kapattıktan sonra bile hassas verilerin orada kalıp kalmadığını kontrol edin.
- Gizlilik ve Meta Veri Sızıntıları.
Ayrıca Okuyun: Ağ Sızma Testi Kontrol Listesi
taşıma katmanı Güvenliği
Aktarım Katmanı Güvenliği ile şifreleme, mesajlarınız havadayken meraklı gözlerden uzak durmaya devam eder. TLS, hem gelen hem de giden trafik verileri için verileri güvenli bir şekilde kodlayan ve ileten bir protokoldür, casusluğu önler.
- Eski Güvensiz Aktarım Katmanı Protokolleri.
- TLS Zayıf Şifreleme(CRIME, BREACH, BEAST, Lucky13, RC4, vb.) (sslscan, sslyze, osaft vb.) gibi araçlarla bulunabilir.
- Güvensiz Veri Depolama.
- TLS Sertifika Sabitlemeyi Atlama.
- TLS Özgünlük Kusurları.
IPC Güvenliği (Süreçler arası iletişim)
Android IPC mekanizmaları, IPC’nize bağlanan uygulamanın kimliğini doğrulamanıza ve her IPC mekanizması için güvenlik politikası belirlemenize olanak tanır.
- Cihaz Hizmet Reddi saldırıları.
- İzinler ve Dijital İmza Veri Paylaşımı Sorunları.
- Yasal olmayan bir uygulama hassas verilere erişim sağlayabilir.
- Gizli Bileşenler ve Uygulamalar Arası Yetkilendirme.
Güvenilmeyen Kod
- Uygulama hata mesajında açıklanan hassas bilgiler.
- Web Görünümlerinde JavaScript Yürütme Riskleri.
- AndroidManifest.xml dosyası aracılığıyla uygulama tarafından belirlenen güvenli olmayan izinler.
- Tamsayı, Yığın ve Yığın Tabanlı Arabellek Taşması.
Kimlik Doğrulama Kusurları
Kimlik doğrulama bu prosedürün temel bir parçasıdır, ancak parola değişikliği, parolamı unuttum, parolamı hatırla, hesap güncelleme ve diğer ilgili işlevler dahil olmak üzere kusurlu kimlik bilgisi yönetimi işlevleri güçlü doğrulama kimlik doğrulamasını zayıflatabilir.
- Kimlik Doğrulama Tutarsızlığı.
- Çapraz Uygulama Kimlik Doğrulaması.
- Oturum işleme hataları.
- İstemci Tarafına Dayalı Kimlik Doğrulama Kusurları.
- Hesap kilitleme politikasının olmaması.
İş mantığı güvenlik açığı
Kodlama yerine tasarım merkezli bileşenler içeren güvenlik açıkları dahil edilmiştir. Hem yürütme hilesi hem de uygulamanın çalışma sürecini şaşırtıcı bir şekilde etkileme kapasitesi dahil edilmiştir.
- Sunucu tarafı doğrulamasını kontrol edin.
- Yönetici/kullanıcı hesabı uzlaşması.
- Kök algılama yöntemini kontrol edin/atlayın.
- Bruteforce kimlik doğrulaması.
Sızma Testi Android Sunucu tarafı kontrolleri
- İstemci tarafı enjeksiyonunu (XSS) kontrol edin.
- Kullanıcı adı numaralandırma.
- SQL enjeksiyonu
- Kötü amaçlı dosya yükleme.
- Tüm HTTP yöntemlerini kontrol edin (PUT, DELETE vb. HTTP fiil kurcalamayı kullanarak burp davetsiz misafir kullanın).
- Oturum yönetimini kontrol edin (çerez kusurları, oturumu geçersiz kılma, oturum sabitleme vb.).
- CAPTCHA uygulama kusurları ve atlama.
- Run nikto, dirb websever scanner.
Açık Android Güvenlik Değerlendirme Metodolojisi
Android Güvenlik kontrolleri, aşağıdaki konuda referans çerçevesi için aşağıdaki bölümde yapılandırılmıştır: Android uygulama güvenlik açığı değerlendirmeleri.
- OASAM-BİLGİ: Bilgi Toplama: Bilgi toplama ve saldırı yüzeyi tanımı.
- OASAM-CONF: Yapılandırma ve Dağıtım Yönetimi: Yapılandırma ve dağıtım değerlendirmesi.
- OASAM-AUTH: Kimlik doğrulama: Kimlik doğrulama değerlendirmesi.
- OASAM-CRYPT: Kriptografi: Kriptografi kullanım değerlendirmesi.
- OASAM KAÇAĞI: Bilgi Sızıntısı: Gizli bilgi sızıntısı değerlendirmesi.
- OASAM-DV: Veri Doğrulama: Kullanıcı girişi yönetimi değerlendirmesi.
- OASAM-İŞ: Intent Spoofing: Intent alım yönetimi değerlendirmesi.
- OASAM-UIR: Yetkisiz Niyet Makbuzu: Niyet çözüm değerlendirmesi.
- OASAM-BL İş Mantığı: Uygulama iş mantığı değerlendirmesi.