Уязвимости мобильных приложений/2

Материал из SecSem Wiki
Перейти к навигации Перейти к поиску

Подготовка к семинару:

1. Установить burp и загрузить его сертификат

  * Запустить burp, добавить в Proxy listeners 127.0.0.1:8080, если его там нет
  * Настроить прокси в браузере (127.0.0.1:8080)
  * Зайти на страницу http://burp
  * Нажать на CA Certificate -- загрузится сертификат с расширением cacert.der

2. Добавить в genymotion устройство Google Nexus 5X (Android API 8.0 - API 26).

   Проверить, что эмулятор запускается с ним.

3. Загрузить архив с приложениями https://drive.google.com/file/d/1Bifo86-zlpAtLcC66Sgv_WBxqcrUZmED/

4. Клонировать репозиторий (git clone) https://github.com/dineshshetty/Android-InsecureBankv2

   Для этого нужно также установить git. Под linux и macOS есть соответствующий пакет.
   Под Windows можно взять отсюда https://gitforwindows.org/

5. Установить зависимости AndroLabServer

   pip install -r Android-InsecureBankv2/AndroLabServer/requirements.txt
   Для этого нужно предварительно установить python2.7.9 и pip (https://www.python.org/downloads/ )
   С установкой под Windows, возможно, может помочь https://datascience.com.co/how-to-install-python-2-7-and-3-6-in-windows-10-add-python-path-281e7eae62a , там нужно после установки python2.7.9 открыть панель управления и изменить переменные окружения, добавить путь к питону и его скриптам в PATH.

6. Можно установить jadx и jadx-gui (https://github.com/skylot/jadx) как альтернативу dex2jar+jd-gui