Damn Vulnerable Bank: Bài lab cho thực hành Pentest ứng dụng Android

DDos

VIP Members
22/10/2013
524
2.191 bài viết
Damn Vulnerable Bank: Bài lab cho thực hành Pentest ứng dụng Android
Android là hệ điều hành di động phổ biến nhất trên thế giới, với khoảng 2.5 tỷ thiết bị. Nếu so với hệ điều hành iOS, Android được coi là kém bảo mật hơn bởi tính "mở" của nó. Thử nghiệm thâm nhập ứng dụng Android là một lĩnh vực khá được quan tâm.

Android-Penetration-Testing.jpg

Tuy nhiên, các tài liệu đào tạo và các bài lab ở mảng này khá là ít. Do đó, mình muốn giới thiệu với các bạn ứng dụng Damn Vulnerable Bank. Ứng dụng này đã được trình diễn tại hội nghị bảo mật BlackHat EU 2021.

aaa.jpg

Ngoài các lỗ hổng trong OWASP, Damn Vulnerable Bank còn bao gồm nhiều bài lab liên quan đến phân tích nhị phân, bỏ qua phát hiện trình gỡ lỗi, phân tích Frida, viết mã tùy chỉnh để giải mã dữ liệu.

bbbb.jpg

Các bài lab bao gồm:
  • Phát hiện root và trình giả lập
  • Kiểm tra chống gỡ lỗi (ngăn kết nối với Frida, jdb, v.v.)
  • Làm rối toàn bộ
  • Mã hóa tất cả các yêu cầu và phản hồi
  • Thông tin nhạy cảm được mã hóa cứng
  • Rò rỉ logcat
  • Lỗi trong đối tượng view (Webview) trong Android
  • Liên kết sâu (Deep links)
  • Trích xuất Activity
Để cài đặt bài lab, bạn đơn giản chỉ cần tải tệp apk tại đây. Sau đó, tiến hành cài đặt trên máy ảo hoặc máy thật như một ứng dụng bình thường.

Nếu bạn gặp khó khăn trong các bài lab, hoặc không thể khai thác được các lỗ hổng tồn tại trong đó, bạn có thể tham khảo hướng dẫn chi tiết của tác giả.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
android damn vulnerable bank pentest
Bên trên