Уязвимости мобильных приложений/2: различия между версиями
(не показаны 2 промежуточные версии этого же участника) | |||
Строка 8: | Строка 8: | ||
2. Добавить в genymotion устройство Google Nexus 5X (Android API 8.0 - API 26). | 2. Добавить в genymotion устройство Google Nexus 5X (Android API 8.0 - API 26). | ||
Проверить, что эмулятор запускается с ним. | Проверить, что эмулятор запускается с ним. | ||
− | 3. Загрузить архив | + | 3. Загрузить архив https://drive.google.com/file/d/1oDd7j06tBeJ9MrUYmU8UKNX_eTZ4j2Rn/ , перетащить его в окошко с эмулятором. |
− | 4. Клонировать репозиторий (git clone) https://github.com/dineshshetty/Android-InsecureBankv2 | + | 4. Загрузить архив с приложениями https://drive.google.com/file/d/1Bifo86-zlpAtLcC66Sgv_WBxqcrUZmED/ |
+ | |||
+ | 5. Клонировать репозиторий (git clone) https://github.com/dineshshetty/Android-InsecureBankv2 | ||
Для этого нужно также установить git. Под linux и macOS есть соответствующий пакет. | Для этого нужно также установить git. Под linux и macOS есть соответствующий пакет. | ||
Под Windows можно взять отсюда https://gitforwindows.org/ | Под Windows можно взять отсюда https://gitforwindows.org/ | ||
− | + | 6. Установить зависимости AndroLabServer | |
pip install -r Android-InsecureBankv2/AndroLabServer/requirements.txt | pip install -r Android-InsecureBankv2/AndroLabServer/requirements.txt | ||
Для этого нужно предварительно установить python2.7.9 и pip (https://www.python.org/downloads/ ) | Для этого нужно предварительно установить python2.7.9 и pip (https://www.python.org/downloads/ ) | ||
С установкой под Windows, возможно, может помочь https://datascience.com.co/how-to-install-python-2-7-and-3-6-in-windows-10-add-python-path-281e7eae62a , там нужно после установки python2.7.9 открыть панель управления и изменить переменные окружения, добавить путь к питону и его скриптам в PATH. | С установкой под Windows, возможно, может помочь https://datascience.com.co/how-to-install-python-2-7-and-3-6-in-windows-10-add-python-path-281e7eae62a , там нужно после установки python2.7.9 открыть панель управления и изменить переменные окружения, добавить путь к питону и его скриптам в PATH. | ||
− | + | 7. Скачать и установить в эмулятор приложение SniffIntents (https://drive.google.com/file/d/1C_1Q8ry5hG42XjQ97pq1uIrFnw2F0jCZ/) | |
+ | |||
+ | Для этого надо будет выполнить сначала adb shell settings put global verifier_verify_adb_installs 0 | ||
+ | |||
+ | 8. Можно установить jadx и jadx-gui (https://github.com/skylot/jadx) как альтернативу dex2jar+jd-gui | ||
+ | |||
+ | Презентация семинара: https://drive.google.com/file/d/117PRapIrsGQGIJK2KRpxzR9iYbXDcW74/ |
Текущая версия на 10:27, 17 декабря 2020
Подготовка к семинару:
1. Установить burp и загрузить его сертификат
* Запустить burp, добавить в Proxy listeners 127.0.0.1:8080, если его там нет * Настроить прокси в браузере (127.0.0.1:8080) * Зайти на страницу http://burp * Нажать на CA Certificate -- загрузится сертификат с расширением cacert.der
2. Добавить в genymotion устройство Google Nexus 5X (Android API 8.0 - API 26).
Проверить, что эмулятор запускается с ним.
3. Загрузить архив https://drive.google.com/file/d/1oDd7j06tBeJ9MrUYmU8UKNX_eTZ4j2Rn/ , перетащить его в окошко с эмулятором.
4. Загрузить архив с приложениями https://drive.google.com/file/d/1Bifo86-zlpAtLcC66Sgv_WBxqcrUZmED/
5. Клонировать репозиторий (git clone) https://github.com/dineshshetty/Android-InsecureBankv2
Для этого нужно также установить git. Под linux и macOS есть соответствующий пакет. Под Windows можно взять отсюда https://gitforwindows.org/
6. Установить зависимости AndroLabServer
pip install -r Android-InsecureBankv2/AndroLabServer/requirements.txt Для этого нужно предварительно установить python2.7.9 и pip (https://www.python.org/downloads/ ) С установкой под Windows, возможно, может помочь https://datascience.com.co/how-to-install-python-2-7-and-3-6-in-windows-10-add-python-path-281e7eae62a , там нужно после установки python2.7.9 открыть панель управления и изменить переменные окружения, добавить путь к питону и его скриптам в PATH.
7. Скачать и установить в эмулятор приложение SniffIntents (https://drive.google.com/file/d/1C_1Q8ry5hG42XjQ97pq1uIrFnw2F0jCZ/)
Для этого надо будет выполнить сначала adb shell settings put global verifier_verify_adb_installs 0
8. Можно установить jadx и jadx-gui (https://github.com/skylot/jadx) как альтернативу dex2jar+jd-gui
Презентация семинара: https://drive.google.com/file/d/117PRapIrsGQGIJK2KRpxzR9iYbXDcW74/