Уязвимости мобильных приложений/2
Подготовка к семинару:
1. Установить burp и загрузить его сертификат
* Запустить burp, добавить в Proxy listeners 127.0.0.1:8080, если его там нет * Настроить прокси в браузере (127.0.0.1:8080) * Зайти на страницу http://burp * Нажать на CA Certificate -- загрузится сертификат с расширением cacert.der
2. Добавить в genymotion устройство Google Nexus 5X (Android API 8.0 - API 26).
Проверить, что эмулятор запускается с ним.
3. Загрузить архив https://drive.google.com/file/d/1oDd7j06tBeJ9MrUYmU8UKNX_eTZ4j2Rn/ , перетащить его в окошко с эмулятором.
4. Загрузить архив с приложениями https://drive.google.com/file/d/1Bifo86-zlpAtLcC66Sgv_WBxqcrUZmED/
5. Клонировать репозиторий (git clone) https://github.com/dineshshetty/Android-InsecureBankv2
Для этого нужно также установить git. Под linux и macOS есть соответствующий пакет. Под Windows можно взять отсюда https://gitforwindows.org/
6. Установить зависимости AndroLabServer
pip install -r Android-InsecureBankv2/AndroLabServer/requirements.txt Для этого нужно предварительно установить python2.7.9 и pip (https://www.python.org/downloads/ ) С установкой под Windows, возможно, может помочь https://datascience.com.co/how-to-install-python-2-7-and-3-6-in-windows-10-add-python-path-281e7eae62a , там нужно после установки python2.7.9 открыть панель управления и изменить переменные окружения, добавить путь к питону и его скриптам в PATH.
7. Скачать и установить в эмулятор приложение SniffIntents (https://drive.google.com/file/d/1C_1Q8ry5hG42XjQ97pq1uIrFnw2F0jCZ/)
Для этого надо будет выполнить сначала adb shell settings put global verifier_verify_adb_installs 0
8. Можно установить jadx и jadx-gui (https://github.com/skylot/jadx) как альтернативу dex2jar+jd-gui
Презентация семинара: https://drive.google.com/file/d/117PRapIrsGQGIJK2KRpxzR9iYbXDcW74/