Колдонуучунун сырсөздөрүнөн баштап төлөм деталдарына чейин бардыгын камтыган санариптик сактагыч сыяктуу мобилдик колдонмону ойлоп көрүңүз. Кирүү тестичиси катары сиздин милдетиңиз – кандайдыр бир чыныгы чабуулчу кирүүгө аракет кылганга чейин, сактагычтын бекем мөөр басылганын камсыз кылуу. Бул колдонмодо биз сизге туура шаймандарды чогултуудан тартып мобилдик пенстингдин бүт процессин көрсөтөбүз. кодду жана трафикти талдоо. Кел, секирип кирели!

Киришүү

Биз мобилдик түзүлүштөр дээрлик өзүбүздүн кеңейтүүбүз болгон дүйнөдө жашап жатабыз. Адамдар телефондор аркылуу банк иштерин , соода кылууну жана баарлашууну жүргүзгөндүктөн, колдонмонун коопсуздугун камсыз кылуу баарынан маанилүү. Мына ошондуктан мобилдик пентестинг маанилүү: биз алсыз жактарын ачып, иштеп чыгуучуларга аларды оңдоого жардам берүү үчүн колдонмолорго каршы чабуулдарды симуляциялайбыз.

Бул жерде сиз үчүн эмне бар:

• Тынчтык : Маалыматтын агып кетишине же уурдалган эсептик дайындарга байланыштуу уйкуңузду жоготпойсуз.
• Шайкештик : Жөнгө салуучулар (жана сиздин колдонуучулар) күчтүү коргоо стандарттарын талап кылат.
• Reputation Boost : Коопсуз колдонмолор бактылуу кардарларды жана терс аталыштардын азыраак коркунучун билдирет.

Mobile Pentesting деген эмне?

Негизи, мобилдик пентестинг колдонмону бузуп алуунун креативдүү жолдорун табууга багытталган - чыныгы чабуулчу сыяктуу - сиз адегенде алсыздыктарды оңдоңуз. Бул стандарттык веб-пентестингден айырмаланат, анткени мобилдик колдонмолор:

• Уникалдуу платформаларда иштетүү : Android жана iOS ар биринин өз эрежелери, коопсуздук моделдери жана кызыкчылыктары бар.

• Түзмөктөрдөгү дайындарды сактоо : Сезимтал маалыматты жергиликтүү түрдө сактоого болот, бул түзмөккө тиешелүү сактагычты изилдөөнү маанилүү кылат.

• Көпчүлүк API'лерге таяныңыз : Мобилдик колдонмолор көбүнчө API'лер аркылуу серверлер менен сүйлөшөт, алар туура эмес конфигурацияланган же туура эмес текшерилбесе, аялуу болушу мүмкүн.

  
  

Жалпы кыйынчылыктарга тамыр/абактан качууну аныктоо , SSL кадоодон өтүү жана кардар тарабында да, сервер тарабында да логиканы талдоо кирет.

Мобилдик тиркемелер үчүн жалпы коркунучтар

Орто кылымдагы чепти элестетиңиз — булар чабуулчулардын бутага алган “алсыз жерлери”:

1. Кооптуу маалымат сактагыч
   • Сезимтал белгилери же колдонуучунун эсептик дайындары түзмөктө шифрленбеген бойдон калат.
2. Алсыз сервердик башкаруу
   • Киргизүүнү текшерүү жок же хакерлер пайдалана турган ката API логикасы.
3. Транспорттук катмарды коргоо жетишсиз
   • HTTP же кемчиликтүү HTTPS колдонуу, чабуулчуларга тармак трафигин кармоого же өзгөртүүгө мүмкүндүк берет.
4. Кооптуу аутентификация жана авторизация
   • Начар киргизилген кирүү системалары, сессияны башкаруу же уруксат текшерүүлөрү.
5. Кардар тараптын аялуу жерлери

   • Сырларды ачуу үчүн тескери иштелип чыккан код же иштөө убагында башкарылуучу логика.

     
     

Бул тобокелдиктер жөнүндө көбүрөөк билүү үчүн OWASP Mobile Top 10 жана Мобилдик Колдонмонун Коопсуздук Сыноо Колдонмосун (MASTG) караңыз. Алар бардык мүмкүн болгон тузактарды баса белгилеген карталарга окшош.

Мобилдик тестирлөөгө даярданыңыз

Сепилди басып алуудан мурун, сизге туура курал-жарак жана курал керек. Пентест менен айтканда, бул реалдуу дүйнөдөгү маалыматтарга зыян келтирбестен, коопсуз эксперимент жүргүзө турган чөйрөнү түзүү дегенди билдирет. Келгиле, Android жана iOS үчүн негиздерин карап көрөлү.

Android

Android колдонмолорун сынап жатканда, Android Emulator же Genymotion сыяктуу куралдарды колдонуп виртуалдык түзмөктөрдү айланта аласыз. Бул эмуляторлор физикалык түзүлүшкө муктаж болбостон, колдонмолорду тез орнотууга жана сыноого мүмкүндүк берет. Бирди орнотуу үчүн кеңири кадамдарды бул колдонмодон тапса болот.

Android эмулятору

Бирок, физикалык аппаратты колдонуу көбүнчө тагыраак жыйынтыктарды берет, өзгөчө, сиз тармактын реалдуу шарттарын, сенсорлорду же биометрикалык аутентификацияны текшерүү керек болгондо. Эгер сиз тамыр текшерүүлөрү же тереңдетилген маалыматтарды криминалистика сыяктуу өркүндөтүлгөн тесттерди пландаштырып жатсаңыз, анда чыныгы жабдыкка ээ болуу чоң плюс.

Эгер сиз атайын түзмөктү сатып алууну же карыз алууну чечсеңиз, кээ бир Android телефондорунун тамырын орнотуу оңой экенин эстен чыгарбаңыз. Rooting сизге операциялык тутумга тереңирээк кирүү мүмкүнчүлүгүн берет, бул сизге жашыруун файлдарды талдоо, колдонмо чектөөлөрүн айланып өтүүгө жана жогорку уруксаттарды талап кылган күчтүү куралдарды иштетүүгө мүмкүндүк берет.

Rooting

Android Rooting телефонуңуздун иштөө тутумунун скелет ачкычын табууга окшош. Адатта, сиз:

1. Жүктөгүчтүн кулпусун ачыңыз.
2. Ыңгайлаштырылган калыбына келтирүүнү Flash (мисалы, TWRP).
3. Magisk же SuperSU сыяктуу тамыр башкаруу куралын орнотуңуз.

Ар бир телефондун жана ОС версиясынын өзүнүн өзгөчөлүктөрү бар, андыктан бир нече аракетке даяр болуңуз. Жакшы жаңылык, түзмөктүн тамыры орнотулгандан кийин, сиз микропрограмманы баштапкы абалга келтирмейинче же жаңыртпасаңыз, ал жалпысынан ушундай бойдон калат. Эсиңизде болсун, iOS джейлбрейктери кайра жүктөлгөндөн кийин жоголуп кетиши мүмкүн — андыктан Android кээде тестирлөө үчүн туруктуураак платформаны сунуштайт.

Ар дайым белгилүү бир телефонуңуз үчүн ишенимдүү колдонмолорду ээрчиңиз — туура эмес rooting программаны бузуп же коопсуздук тешиктерин киргизиши мүмкүн. Жана, албетте, сууга түшүүдөн мурун маалыматтарыңыздын камдык көчүрмөсүн сактаңыз ! Pixel 3a түптөө мисалы

Прокси

Burp Suite сыяктуу проксиди "шпиондук" деп эсептеңиз. Бул колдонмого кирген жана чыккан бардык трафикти көрүп, өзгөртүүгө мүмкүндүк берет. Кооптуу байланыш, ката аутентификация же көмүскө сурамдарды байкайсыз. Мобилдик телефонго прокси орнотуу iOS жана Androidде окшош. Ар бир платформа үчүн расмий нускамаларды бул жерден таба аласыз.

Белгилүү алкактарда нерселер татаалдашат:

• Xamarin кээде ыңгайлаштырылган тармак китепканаларынан улам тутумдук прокси жөндөөлөрүн этибарга албайт.

• Flutter проксилерди урматташы мүмкүн, бирок трафикти көрүүгө бөгөт коюп, сертификатты кадоону талап кылышы мүмкүн.

  
  

Бул тоскоолдуктарды жеңүү үчүн, сиз кодду чыңдап, кадап коюуну өчүрүү үчүн Frida же Каршылык сыяктуу куралдарды колдонсоңуз же трафикти тартуу үчүн тескери проксилерди (мисалы, mitmproxy ) орното аласыз. Өзүңүздүн мамилеңизди ыңгайлаштыруу – көңүл ачуунун бир бөлүгү!

Колдонмо орнотуу

Колдонмо азырынча Google Play Дүкөнүндө жок болсо — пентесттер үчүн кеңири таралган — сизде капталдан жүктөө үчүн APK файлы болушу мүмкүн. APK'ди Google Drive же түз жүктөп алуу шилтемеси аркылуу бөлүшө аласыз. Дагы бир ыңгайлуу вариант - кызыкдар тараптарга чакырууларды жөнөтүү аркылуу тестирлөө уюштурган Firebase App Distribution колдонуу.

iOS

iOS'то физикалык түзмөк дагы эң чыныгы тестирлөө тажрыйбасын сунуштайт. Сиз Face ID , Touch ID жана сенсорлор сыяктуу аппараттык спецификалык өзгөчөлүктөргө сүңгүп, ошону менен бирге реалдуу тармактык өз ара аракеттенүүнү тартууга болот. Эгер сиз жеке аспапты сатып алып же колдонуп жатсаңыз, джейлбрейк жасоо оңойраак белгилүү моделдерди карап көрүңүз (анткени бардык iPhones бул процесске бирдей ылайыктуу эмес). Эгер сизге виртуалдык iOS түзмөктөрү керек болсо, Corellium булутка негизделген күчтүү тестти камсыз кылат, бирок ал бекер эмес. Көпчүлүк тестерлер дагы эле кылдат текшерүү үчүн физикалык түзүлүшкө таянышат.

Jailbreaking

iOS Jailbreaking Apple өзүнүн түзмөктөрүнө койгон кулпуларды алып салууга окшош. Түзмөктөрдү орнотууга, жашырылган файл каталогдорун изилдөөгө же өркүндөтүлгөн пентестинг скрипттерин иштетүүгө мүмкүндүк берген түпкү артыкчылыктарга ээ болосуз. Популярдуу куралдарга unc0ver жана Checkra1n кирет. Эң жакшы тандоо iOS версияңызга жана түзмөгүңүздүн моделине жараша болот.

Эсиңизде болсун:

• Жаңыраак түзмөктөрдү джейлбрейк кылуу кыйыныраак болушу мүмкүн.
• Кээ бир джейлбрейктер кайра жүктөөдө ("жарым байланган") аман калбайт.
• Тутум файлдары менен аралашуудан мурун iPhone'уңуздун камдык көчүрмөсүн ар дайым сактаңыз .

Ошондой эле айрым коопсуздук катмарлары түзмөгүңүз кайра күйгүзүлгөндө автоматтык түрдө кайра жандырылаарын эске алыңыз, андыктан сиз ар бир күйгүзүлгөн сайын джейлбрейк жасашыңыз керек болушу мүмкүн.

Колдонмо орнотуу

iOS колдонмолору Androidдеги APK файлдарына окшош IPA файлдарында келет. Абактан бузулган телефондо сиз Filza сыяктуу файл менеджерлерин же Sideloadly сыяктуу колдонмолорду колдонуп IPAларды орното аласыз. Көбүрөөк расмий маршрут үчүн иштеп чыгуучулар TestFlight га таянышат, бул аларга тестерлерди электрондук почта аркылуу чакырууга мүмкүндүк берет — жөн гана шилтемени таптап, калганын iOS чечет.

Айлана-чөйрөңүздү туура орнотуу — туура түзмөктөрдү тандоо (виртуалдык же физикалык), проксилерди конфигурациялоо жана колдонмолорду кантип жүктөө керектигин түшүнүү — колдонмонун ички иштерине терең сүңгүүгө даяр экениңизди камсыздайт. Бул бир аз тырышчаактыкты талап кылышы мүмкүн, бирок сиз идеалдуу орнотууга ээ болгондон кийин, чыныгы пентестинг башталышы мүмкүн!

Статикалык анализ (SAST)

Эми аны толук иштетпей туруп, анын өзүн текшерүүгө өтөлү. Бул сепилдин ичине кирээрден мурун анын долбоорун окууга окшош. Катуу коддолгон сырларды , кооптуу конфигурацияларды жана код же конфигурация файлдарынан башка маселелерди издейбиз.

Негизги багыттарга көңүл буруу

1. Катуу коддолгон сырлар

   API ачкычтары, энбелгилери, эсептик дайындары жана шифрлөө ачкычтары кээде түздөн-түз баштапкы коддо аяктайт. Эгерде чабуулчулар колдонмону тескери инженерия кылса, алар бул сырларды эң аз күч жумшап, колдонуучулардын же кызматтардын кейпин кийиши мүмкүн.

2. Кооптуу конфигурациялар

   Өтө уруксат берилген уруксаттар, мүчүлүштүктөрдү оңдоо желекчелери иштетилген же туура эмес кол коюу колдонмоңуздун курал-жарактарындагы тешиктердин бардыгын тешип коюшу мүмкүн. iOS Info.plist же android:debuggable="true" ичиндеги NSAllowsArbitraryLoads сыяктуу жалгыз жөндөө ортодогу адам (MITM) чабуулдарына же корголбогон мүчүлүштүктөрдү оңдоого эшик ача алат.

3. Сезимтал маалыматтардын таасири

   Сеанс белгилерин же жеке маалыматты түзмөктө жөнөкөй текстте сактоо (журналдар, бөлүшүлгөн артыкчылыктар, жергиликтүү файлдар) кырсыктын рецепти болуп саналат. Физикалык мүмкүнчүлүгү бар же тамыры бар/жэйлбрейк телефону бар ар бир адам айланып өтүп, баалуу маалыматтарды уурдай алат — эч кандай одоно күч талап кылынбайт.

4. Колдонмонун логикасы жана кемчиликтери

   Көбүнчө, негизги маселелер функциялардын кантип ишке ашырылганынан келип чыгат. Аутентификация сыяктуу маанилүү текшерүүлөр жок болсо же так аткарылбаса, чабуулчулар сиздин коргонууңуздан оңой эле өтүп кете алышат. Ошо сыяктуу эле, алсыз криптографиялык функциялар же корголбогон колдонмо компоненттери да колдонмоңузду изилдеп жаткандардын жашоосун жеңилдетет.

MSTG текшерүү тизмеси

Mobile Security Testing Guide (MSTG) статикалык анализди методикалык түрдө чечүүгө жардам берүү үчүн кылдат текшерүү тизмесин сунуштайт:

• [ ] MSTG-STORAGE-1 : Сезимтал маалыматтар түзмөктө шифрленбеген түрдө сакталбайт.
• [ ] MSTG-STORAGE-2 : Жалпы сактагычта эч кандай купуя маалымат сакталбайт.
• [ ] MSTG-CRYPTO-1 : Криптографиялык алгоритмдерди жана китепканаларды туура колдонуу.
• [ ] MSTG-NETWORK-1 : Коопсуз байланыш каналдары (мисалы, HTTPS/TLS).
• [ ] MSTG-CODE-1 : Баштапкы коддо катуу коддолгон сырлардын жоктугу.
• [ ] MSTG-CODE-3 : Кодду бүдөмүктөө тийиштүү түрдө колдонулат.
• [ ] MSTG-RESILIENCE-1 : Тескери инженериядан коргоо.
• [ ] MSTG-RESILIENCE-2 : Мүчүлүштүктөрдү оңдоо мүмкүнчүлүктөрү өндүрүштө өчүрүлгөн.
• [ ] MSTG-PRIVACY-1 : Колдонуучунун уруксаттарын жана жеке маалыматтарды туура иштетүү.

SAST куралдары

Ар кандай шаймандар колдонмону иштетпестен кодуңузду, конфигурацияңызды жана бинардык файлдарыңызды ажыратууга жардам берет:

MobSF (Mobile Security Framework)

Колдонуу : APK/IPA сайыңыз жана MobSF деталдуу отчетту жаратат: анда мүмкүн болуучу туура эмес конфигурациялар, шектүү уруксаттар же катуу коддолгон сырлар тизмеси көрсөтүлөт.

Бонус : Ал ошондой эле кээ бир динамикалык өзгөчөлүктөргө ээ, аны тыкан бардыгын бир чечимге айлантат.

APKTool (Android)

Колдонуңуз : ичинде эмне бар экенин көрүү үчүн декомпиляция жана андан кийин APKди кайра компиляциялаңыз. Бул AndroidManifest.xml окуу, ресурстарды изилдөө же колдонмону тууралоо үчүн идеалдуу.

apktool d app.apk -o output_director

JADX (Android)

Колдонуу : Dalvik байт кодун (.dex) окула турган Java форматына айландырыңыз. API ачкычтары сыяктуу потенциалдуу кемчиликтери бар код саптарын табуу үчүн эң сонун.

jadx app.apk -d output_directory

Class-Dump, Hopper, Ghidra (iOS)

Колдонуу : Objective-C классынын аталыштарын чыгарыңыз (Class-Dump) же iOS бинарларын (Hopper/Ghidra) ажыратыңыз. Эгер колдонмо Swiftified болсо, Swift метадайындарын да көрөсүз.

Мисалдар

Android

• Маалыматты ачуу

• Android колдонмолорун APKTool , JADX же MobSF сыяктуу куралдар аркылуу APK файлдарынан декомпиляциялоого болот.

  Бул процесс булак кодун, колдонмо түзүмүн жана AndroidManifest.xml же .smali файлдары сыяктуу сезимтал компоненттерди ачып берет, алар колдонмонун логикасын жана уруксаттарын ачыкка чыгарат.

  
  

• Таза текст трафикине уруксат берүү

<application android:usesCleartextTraffic="true" />

Чабуулчулар тыңшоо же бурмалоо үчүн шифрленбеген (HTTP) байланышты пайдалана алышат.

• Мүчүлүштүктөрдү оңдоочу колдонмо

<application android:debuggable="true" />

Түзмөк (же эмулятор) бар ар бир адам мүчүлүштүктөрдү оңдоочу тиркеп, сезимтал маалыматтарды же логиканы изилдей алат.

• Катуу коддолгон API ачкычтары

public class ApiClient { private static final String API_KEY = "12345-abcdef-67890"; private static final String API_SECRET = "superSecretPassword123!"; }

APKTool же JADX менен тез декомпиляция бул ачкычтарды ачып берип, чабуулчуларга колдонмонун кейпин кийүүгө же бейөкмөт кызматтарга уруксатсыз кирүүгө мүмкүндүк берет.

• Ачык тексттеги сезимтал маалыматтар

<map> <string name="session_token">abc123XYZ987</string> <string name="user_email">user@example.com</string> </map>

Токендер же колдонуучунун маалыматы жөнөкөй текстте сакталса, тамыры бар түзмөк аларды оңой чыгарып алат.

iOS

• Туура эмес конфигурацияланган Info.plist

<key>NSAppTransportSecurity</key> <dict>

<key>NSAllowsArbitraryLoads</key> <true/> </dict>

Apple демейки боюнча коопсуз туташууларды ишке ашырат, андыктан муну жокко чыгаруу колдонмону MITM тобокелдигине же шифрленбеген трафикке ачат.

Class-Dump , Hopper Disassembler жана Ghidra сыяктуу декомпиляция куралдары колдонмонун IPA файлынын мазмунун, анын ичинде Objective-C класстарын, метод аттарын жана бинардык файлдарды чыгарат.

Динамикалык талдоо (DAST)

Эгерде статикалык талдоо сепилдин планын изилдеп жатса, динамикалык анализ сепилдин ичинде айланып жүрүп, ар бир эшикти жана терезени текшерет. Биз колдонмону иштетебиз, анын кандайча иштээрин көрүп, реалдуу убакытта кандайдыр бир алсыз жактарды пайдалана аларыбызды көрөбүз.

Негизги багыттарга көңүл буруу

1. Network Communication

   Колдонмоңуздун дайындары транзит учурунда агып кетпегенин текшериңиз. Колдонмоңуз HTTP же туура эмес конфигурацияланган HTTPSге таянса, чабуулчу кирип, аларды кармап, жада калса маалыматтарды өзгөртүшү мүмкүн. Ошол эле SSL/TLS сертификатынын кадалышынын жетишсиздигине да тиешелүү, бул сиздин колдонмоңузду ортодогу адам (MITM) чабуулдарына дуушар кылат.

2. Аутентификация жана авторизация

   Сиздин кирүү экрандарыңыз жана колдонуучунун ролдору кагазда үндүү көрүнсө дагы, чыныгы сыноо бул кимдир бирөө аларды аткаруу убагында айланып өтүшү мүмкүнбү. Мисалы, чабуулчу сеанс белгилерин кайра колдоно алабы же аларды таба алабы? Колдонмонун убакыты туура бүтөбү же сессияларды түбөлүккө ачык кармайбы?

3. Иштөө убактысынын бүтүндүгү жана коопсуздук текшерүүлөрү

   Көптөгөн колдонмолор түзмөктүн тамыры (Android) же jailbroken (iOS) экендигин аныктоого аракет кылып, андан кийин айрым функцияларды иштетүүдөн же бөгөттөөдөн баш тартышат. Динамикалык талдоо учурунда сиз колдонмонун кодуна кирүү менен бул текшерүүлөрдөн өтүп кете аларыңызды билгиңиз келет, андыктан баары бир тестирлөө улана берет. Эгер сиз бул чараларды оңой эле кыйгап өтө алсаңыз, чабуулчулар да жасай алышат.

4. Аткаруу учурунда маалыматтардын агып кетиши

   Колдонмо купуя маалыматты (мисалы, сырсөздөр же энбелгилер) ачык текстке киргизеби? Колдонмолорду алмаштырганыңызда же түзмөктүн фонунда, жашыруун маалыматтар менен тартылган экран дагы эле көрсөтүлөбү? Мындай күтүлбөгөн "нан күкүмүнүн" изи чабуулчуларды казынага алып барышы мүмкүн.

5. API жана сервердик текшерүү

   Колдонмого кардардын көз карашы боюнча коопсуз көрүнүшү мүмкүн, бирок эгер backend API колдонуучунун уруксаттарын же киргизүүнү текшербесе, чабуулчу уруксатсыз кирүү же системаны бузуп алуу үчүн тез арада сурамдарды өзгөртө алат. Кардардын жана сервердин жүрүм-турумун тандемде сынап көрүү абдан маанилүү.

MSTG текшерүү тизмеси

Mobile Security Testing Guide (MSTG) ошондой эле динамикалык анализди камтыйт. Бул жерде эстен чыгарбоо керек болгон кээ бир текшерүүлөр:

• [ ] MSTG-RESILIENCE-1 : Колдонмо бурмалоо же тескери инженерия аракеттерин аныктайт жана алдын алат.

• [ ] MSTG-RESILIENCE-2 : Колдонмо тамыры бар же джейлбракталган түзмөктөрдү аныктайт.

• [ ] MSTG-RESILIENCE-3 : Колдонмо анын кодунун жана ресурстарынын бүтүндүгүн иштөө учурунда текшерет.

• [ ] MSTG-NETWORK-1 : Колдонмо күчтүү криптографияны колдонуу менен бардык тармак трафигин шифрлейт.

• [ ] MSTG-NETWORK-3 : Колдонмо тиешелүү учурларда сертификаттын кадоосун ишке ашырат.

• [ ] MSTG-PLATFORM-1 : Колдонмо платформанын коопсуздук механизмдерине гана таянбайт жана коопсуздук чараларын өз алдынча ишке ашырат.

• [ ] MSTG-AUTH-2 : Колдонмо сеанстын күтүү убактысын жана колдонуучунун аутентификация талаптарын туура аткарат.

• [ ] MSTG-STORAGE-4 : Колдонмо сезимтал маалыматтарды система журналдарына киргизбейт.

• [ ] MSTG-STORAGE-5 : Колдонмо купуя маалыматтарды кооптуу жерде сактабайт.

• [ ] MSTG-CRYPTO-1 : Колдонмо иштөө убактысынын операциялары үчүн заманбап криптографиялык алгоритмдерди колдонот.

  
  

Буларды реалдуу дүйнө сыноолоруңуз үчүн жол картасы деп ойлоңуз. Алар сизге системалуу түрдө ар бир эшикти жана терезенин кулпуланганын тастыктоого жардам берет.

DAST куралдары

Кодду текшерүүгө багытталган SASTдан айырмаланып, DAST колдонмону иштетүү жана текшерүү айланасында айланат. Төмөндө бул процессти жылмакай кылуу үчүн популярдуу куралдар бар:

Burp Suite / OWASP ZAP

Колдонуу : Экөө тең проксилерди кармап турат, алар сизге колдонмо менен сервер серверлеринин ортосундагы трафикти кармап, өзгөртүүгө мүмкүндүк берет. Кооптуу акыркы чекиттерди, сеанстын кемчиликтерин же маалыматтардын агып кетишин табуу үчүн идеалдуу.

Фрида

Колдонуу : SSL кадоо, тамырды/абактан качууну аныктоону же башка кардар тарабынан коюлган чектөөлөрдү айланып өтүүгө жардам берип, иштеп жаткан процесстерге кошулган динамикалык аспаптар.

Жалпы Frida буйруктары

Дрозер (Android)

Колдонуу : Иш-аракеттер, Кызматтар, уктурууларды кабыл алгычтар жана Мазмун провайдерлери сыяктуу коопсуздуктун алсыз жактарын текшерүүгө багытталган.

Жалпы Дрозер буйруктары

каршы чыгуу

Колдонуу : Frida'да курулган, бирок SSL кадоону өчүрүү же колдонмонун файл тутумун изилдөө сыяктуу тапшырмалар үчүн жөнөкөй буйруктар менен. Эгер сиз сценарий боюнча гуру болбосоңуз, эң сонун.

Жалпы каршылык буйруктары

Мисалдар

Android

• Тармакты кармоо жана өзгөртүү

Android трафигин Burp Suite сыяктуу курал аркылуу багыттоо менен, тестирлөөчүлөр сурамдарды кармап, өзгөртө алышат. Мисалы, эгер колдонмо эсептик дайындарды HTTP аркылуу жөнөтсө же TLS сертификаттарын туура текшере албаса, чабуулчу ортодогу адам (MITM) чабуулдарын жасай алат.

POST /login HTTP/1.1 Host: api.example.com Content-Type: application/json { "username": "test_user", "password": "secret_password" }

Сеанс белгилери, жеке маалыматтар же төлөм маалыматы ачыкка чыгып же манипуляцияланышы мүмкүн.

• Сезимтал маалыматтарды ачкан мүчүлүштүктөрдү оңдоо журналдары

03-09 12:34:56.789 1234 5678 I MyAppLogger: User token = "abc123XYZ987" 03-09 12:34:56.789 1234 5678 I MyAppLogger: Payment info: "card_number=4111111111111111"

ADB (же зыяндуу колдонмо) бар ар бир адам бул журналдарды окуп, аларды пайдалана алат.

• Кооптуу аракеттер/Мазмун провайдерлери

  
  

Drozer колдонуу менен, тестирлөөчүлөр эч кандай аутентификацияны талап кылбаган экспорттолгон аракеттерди же мазмун провайдерлерин таба алышат.

drozer console connect run app.provider.query

content://com.example.app.provider/users

Эгер маалымат тийиштүү уруксаттарсыз кайтарылса, чабуулчулар колдонуучунун маалыматын окуп же өзгөртө алат.

• Тамырды аныктоону кыйгап өтүү

Frida же Каршылык сыяктуу инструменттер иштөө убагында тамырды аныктоону же SSL кадоо текшерүүлөрүн айланып өтүүгө мүмкүндүк берет:

frida -U -n com.example.app --eval "..." objection -g com.example.app explore android sslpinning disable android root disable ios sslpinning disable ios root disable

Түпкү телефондорго чабуулчулар тестирлөө же сезимтал функцияларга кирүү, сырларды ачып же колдонмонун логикасын бузууну уланта алышат.

iOS

• Абактан качууну аныктоону айланып өтүү

Көптөгөн iOS колдонмолору, эгер алар джейлбрейк телефонун аныктаса, иштебейт. Frida менен сиз аныктоо ыкмасын байлап, жокко чыгара аласыз:

Interceptor.attach(Module.findExportByName(null, "jailbreakDetectionFunction"), { onEnter: function (args) { console.log("Bypassed jailbreak check!"); // Force return a 'clean' status } });

Чабуулчулар колдонмону бузулган түзмөктөрдө иштетип, дайындарды же илгичтерди карап чыгышы мүмкүн.

• Системалык журналдардагы сезимтал маалыматтар

2023-03-09 12:34:56.789 MyApp[1234:5678] Payment info: card_number=4111111111111111 2023-03-09 12:34:56.789 MyApp[1234:5678] session_token=abc123XYZ987

Абактан качкан түзмөктөрдө - же тышкы журналдарды чогултуу аркылуу - чабуулчулар купуя маалыматтарды түздөн-түз жыйнашат.

Мобилдик Пентестингдеги жалпы көйгөйлөр

• Platform Fragmentation : Android түзмөктөрү OS версияларында, ыңгайлаштырылган ROM'ларда жана өндүрүүчүнүн модификацияларында ар түрдүү болуп, сыноолорду татаалдаштырат.
• Колдонмонун коопсуздук чаралары : SSL кадоо, тамыр/абактан качууну аныктоо жана бүдөмүк кылуу сыяктуу функциялар пентестингге тоскоолдук кылышы мүмкүн.
• Булак кодуна чектелген мүмкүнчүлүк : Кара кутучаны тестирлөө көбүнчө APKTool же JADX сыяктуу куралдар менен тескери инженерияны талап кылат, бул көп убакытты талап кылат.
• Динамикалык анализдин чектөөлөрү : Sandboxing, эстутумду коргоо жана тамыры бар/жэйлбрейктелген түзмөктөргө болгон муктаждык реалдуу иш процессинин сыноолорун татаалдаштырат.
• Тармактын коопсуздугу жана трафикти текшерүү : SSL кадоо, сертификатты текшерүү же VPN'лер стандарттуу MITM проксилерине тоскоол болушу мүмкүн. Frida , Burp Suite жана mitmproxy сыяктуу куралдар айланып өтүү үчүн маанилүү болуп калат.

Көп берилүүчү суроолор (FAQ)

• Мобилдик пентестинг деген эмне?

  Бул мобилдик тиркеменин канчалык коопсуз экенин реалдуу дүйнөдөгү чабуулдарды симуляциялоо менен текшерип жатат — чабуулчулар жасабай электе жаракаларды издөө.

• Эмне үчүн мобилдик пентестинг маанилүү?

  Смартфондор чоң көлөмдөгү жеке жана финансылык маалыматтарды камтыгандыктан, алар киберкылмышкерлердин негизги бутасы болуп саналат.

• Негизги кадамдар кандай?

  • Башкарылуучу чөйрөнү орнотуңуз, статикалык анализди (SAST), динамикалык анализди (DAST), документтерди документтештириңиз жана оңдоолордон кийин кайра сынаңыз.

• Мага кандай куралдар керек?

  Traffic үчүн Burp Suite же ZAP, сканерлөө үчүн MobSF, APKTool/JADX (Android), Class-Dump/Hopper (iOS), ошондой эле Frida же Каршылык сыяктуу илгич куралдары.

• Канча жолу пенести алышыбыз керек?

  Негизги жаңыртуулардан, жаңы функциялардан же олуттуу инфраструктуралык өзгөрүүлөрдөн кийин. Идеалында, аны үзгүлтүксүз текшерүү үчүн CI/CDге бириктириңиз.

• Жалпы алсыздыктар кандай?

  Кооптуу маалыматтарды сактоо, HTTPS жок, катуу коддолгон сырлар, начар сеанс башкаруу жана туура эмес конфигурацияланган API.

• Баарын автоматташтырууга болобу?

  Чынында эмес. Куралдар кээ бир сканерлөөлөрдү автоматташтыра алат, бирок кол менен тестирлөө татаалыраак логикалык кемчиликтерди же татаал бизнес эрежелерин ачат.

• Биз Android жана iOS экөөнү тең сынап көрүшүбүз керекпи?

  Ооба, ар биринин уникалдуу коопсуздук моделдери жана тузактары бар.

• Пентест өткөрүү мыйзамдуубу?

  Албетте, эгер сизде колдонмо ээсинин ачык уруксаты бар болсо. Болбосо, бул мыйзамсыз.

• Кайдан баштасам болот?

  OWASP Mobile Security Testing Guide (MASTG) колдонмосун окуп чыгыңыз, негизги артка кайтарууну үйрөнүңүз жана ачык булактуу колдонмолор же үлгү максаттары менен машыгыңыз.

Корутунду

Мобилдик пентестинг чоң квест сыяктуу - сиз шаймандарды (куралдар жана түзмөктөрдү) чогултуу менен баштайсыз, андан кийин жерди чалгындоого (SAST) жана акырында ар бир алсыз жерди табуу үчүн практикалык ыкманы (DAST) колдоносуз . Муну үзгүлтүксүз жасап, тыянактарыңызды билдирүү менен, сиз колдонмолоруңузду бекем жана колдонуучуларыңыздын коопсуздугун сактайсыз.

Эсиңизде болсун: программалык камсыздоо күн сайын өнүгүп турат, ошондой эле коркунучтар да. Пентестингди өнүгүү циклиңиздин үзгүлтүксүз бөлүгүнө айлантыңыз, анткени падышалыкты камсыз кылуунун эң жакшы жолу – сакчылыкты эч качан таштабоо.

Автор жөнүндө

Бул макаланы Секурнодогу коопсуздук тестирлөө боюнча инженери Анастасия Толкачова даярдаган жана Секурнонун техникалык директору Алекс Рожниатовский карап чыккан. Анастасия кирүүгө тестирлөө жана коопсуздукту баалоо боюнча беш жылдан ашык тажрыйбага ээ. Ал веб-тиркемелерди, инфраструктураны (жерлерде жана булуттарда) жана мобилдик платформаларды (iOS жана Android) сыноого адистешкен. Анын тажрыйбасы Black Box, Gray Box жана White Box методологияларын камтыйт, ошондой эле аялуу жерлерди баалоо жана булак кодун коопсуздукту карап чыгуу боюнча чеберчиликти камтыйт.

Алекстин өнүгүү жана киберкоопсуздук боюнча жети жылдык тажрыйбасы бар. Ал коопсуз коддоо практикасын өркүндөтүүгө арналган AWS ачык булактуу салымчысы. Анын тажрыйбасы программалык камсыздоону иштеп чыгуу менен коопсуздуктун ортосундагы ажырымды жоюп, заманбап веб-тиркемелерди коргоо боюнча баалуу түшүнүктөрдү берет.

Mobile Pentesting Guide: Шилтемелер

Куралдар жана ресурстар

1. Mobile-Security-Framework-MobSF
2. Apktool
3. jadx
4. Burp Suite
5. Фрида
6. Дрозер
7. каршы чыгуу
8. Genymotion
9. Corellium Virtual Hardware
10. appledb.dev
11. reFlutter
12. платформа куралдары
13. Magisk
14. Root Checker
15. checkra1n
16. unc0ver
17. Filza

Гиддер жана макалалар

1. OWASP Mobile Top 10
2. OWASP Mobile Application Security
3. OWASP MASTG
4. NIST SP 800-163
5. Android Studio'ну жүктөп алып, орнотуңуз
6. Burp Suite менен иштөө үчүн Android түзмөгүн конфигурациялоо
7. Burp Suite Professional менен иштөө үчүн iOS түзмөгүн конфигурациялоо
8. Xamarin колдонмолорун бузуп алуу