今日共有する記事は、Android APP の静的分析です。安全でないストレージと APP のハードコードされたパスワードの漏洩の問題により、SMS 管理システムにログインし、 SMS インターフェイス構成をハイジャックする 以下は、関連する分析と調査です。
はじめに
パブリック テスト プロジェクトの範囲には、関連メーカーの特定の Android アプリが含まれるため、このアプリを Android スマートフォンにダウンロードして配置しました。APK ファイルは次のとおりです。静的解析のために取り出しました。推奨される 2 つのネイティブで高速な APK ダウンロード URL は次のとおりです:
#https://apk.support/apk-downloaderhttps://apkpure.com/APK ファイルを取得したら、それを逆コンパイルし、分析のためにその中の Java クラス ファイルを見つける必要があります。次の 2 つのツールをここにインストールできます:
https://github. com/pxb1988/dex2jarhttps://mac.filehorse.com/download-jd-gui-java-decompiler/上記のツールをインストールした後、ターゲットを配置しますAPP APK ファイルを別のフォルダーに置き、サフィックスを .apk から .zip に変更して、zip ファイルを解凍すると、これらのファイル内に XML ドキュメント、パス ファイル、テンプレート リソース ファイルなどが表示されます。私たちのターゲットは、classes.dex ファイルです。解凍すると、通常、1 つ以上のclasses.dex ファイルが見つかります。次に、dex2jar ツールを使用して dex ファイルを Java ファイルに変換できます。具体的なコマンドは次のとおりです。は機能しません。その後、別のバージョンの dex2jar コマンドを使用できます:
d2j-dex2jar classs.dex
上記のコマンドを実行すると、classes_dex2jar は次のようになります。フォルダー内に生成された jar の Java ファイル このファイルを取得したら、別の便利なツールを使用して逆コンパイルする必要があります。個人的にはここで JD-GUI を使用するのが好きです (https://github.com/java-decompiler /jd-) gui を使用して生成された jar ファイルを開くと、多くの Java リソース ファイルが表示され、これらのさまざまなリソース ファイルを保存したり読み取ったりすることもできます。
保存されたリソース ファイル コードを使用して、そこからいくつかの問題を見つけ出す必要があります。ここでは、自動化されたモバイル セキュリティ侵入テスト フレームワークであるモバイル セキュリティ フレームワーク (MobSF) というツールをお勧めします。これは、バイナリ ファイル (APK および IPA) とソース コード圧縮パッケージをサポートするインテリジェントな統合オープン ソース モバイル アプリケーション (Android/iOS) 自動ペネトレーション テスト フレームワークであり、静的および動的分析に使用できます。
コード分析
上記の作業が完了したら、ターゲットの Android APP のコードを詳しく分析できます。チェックリストに従って分析しようと座ると、すぐに Constant.java というファイルの 1 つが見つかりました。このファイルは APP の SMS パスにあり、ユーザー名、場所、パスワード、その他のハードウェア情報などの散在する情報が含まれていました。コード化されたサービス。メッセージと SMS API の URL パス。一般的な状況は次のとおりです。 
さらなる分析により、APP は商業プロモーションのために reson8 社のインスタント メッセージング プラットフォーム (https://www.reson8.ae/) を使用していることがわかりました。私は reson8 社の Web サイトを閲覧しました。で、ユーザーログインインターフェースがあることが分かったので、上記の静的解析で流出したUsernameとPasswordの情報を思いつき、ここに持ってきてログインして利用してみました。対象APP会社のSMS送信管理システム:
管理システムはSMS APIゲートウェイであり、SMSの指向性送信設定などの管理操作を行います。マーケティング アップグレードとリチャージを実装できます。さらに重要なのは、ダウンロードできるのはユーザーの携帯電話番号です。 
APP で動的分析やその他の分析を行う前に、静的分析を行うことをお勧めします。独自のチェック リストに従って順番に実行できます。そこから予期せぬ情報を得ることができます。 APP アプリケーション会社にとって、APP 内にパスワードや資格情報に関連する情報を保存することは避けなければならず、必要な場合でも何らかの適切な暗号化処理が必要です。 
以上がAPP アプリケーションでハードコードされたパスワードの漏洩を発見するための APK ファイルの静的分析の分析例の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
PhpStorm Mac バージョン
最新(2018.2.1)のプロフェッショナル向けPHP統合開発ツール
VSCode Windows 64 ビットのダウンロード
Microsoft によって発売された無料で強力な IDE エディター
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
MantisBT
Mantis は、製品の欠陥追跡を支援するために設計された、導入が簡単な Web ベースの欠陥追跡ツールです。 PHP、MySQL、Web サーバーが必要です。デモおよびホスティング サービスをチェックしてください。
ドリームウィーバー CS6
ビジュアル Web 開発ツール
ホットトピック
7767
15164414139952129325123429