Burp Suite Pro
решение
Proxy — прокси-сервер, который перехватывает трафик, проходящий по протоколу HTTP(S), в режиме man-in-the-middle. Находясь между браузером и целевым веб-приложением, эта утилита позволяет перехватывать, изучать и изменять трафик, идущий в обоих направлениях.
Spider — веб-паук, который в автоматическом режиме собирает информацию о содержимом и функционале приложения (веб-ресурса).
Scanner (только в Burp Suite Pro) — сканер для автоматического поиска уязвимостей в веб-приложениях.
Intruder — гибкая утилита, позволяющая в автоматическом режиме производить атаки различного вида
Например, перебор идентификаторов, сбор важной информации и прочее.
Repeater — инструмент для ручного изменения и повторной отсылки отдельных HTTP-запросов, а также для анализа ответов приложения.
Sequencer — утилита для анализа случайных данных приложения на возможность предсказания алгоритма их генерации.
Decoder — утилита для ручного или автоматического кодирования и декодирования данных приложения.
Comparer — инструмент для поиска визуальных различий между двумя вариациями данных.
Extender — инструмент для добавления расширений в Burp Suite
php.testsparker.com premium.bgabank.com H: Cross-site scripting (reflected)M: SSL cookie without secure flag set
M: SSL certificate (not trusted or expired)L: Cookie without HttpOnly flag set
L: Password field with autocomplete enabled
L: Strict transport security not enforcedЕсли для веб-пентеста вы часто используете Burp Suiteэта утилита отлично впишется в ваш арсенал
Не загружайте на телефон какие попало приложения: общий совет
«Приобретайте мобильные приложения только в официальных магазинах», — объясняет он, имея в виду GooglePlay и Apple store.
Купив приложение, советует специалист, обращайте пристальное внимание, какими правами обладает новая программа, причем проверяйте это регулярно. Если приложение проявляет подозрительную активность, отключите доступ к тем или иным функциям, которые не требуются для правильной его работы
Если приложение проявляет подозрительную активность, отключите доступ к тем или иным функциям, которые не требуются для правильной его работы.
Также перед покупкой неплохо для начала провести небольшое исследование. Барлоу рекомендует проверить, сколько отзывов у приложения, прежде чем загружать его. В идеале все, что вы добавляете в свой телефон, должно быть проверено тысячами человек.
РАЗНЫЕ ПОЛЕЗНОСТИ:
При работе с многими веб-приложениями и анализе их логики достаточно часто встречаются данные, передаваемые в закодированном виде, а именно Base64. Encode поможет тебе раскодировать эти данные и посмотреть, что же именно в них хранится. Возможно, подставив кавычку, закодировав их обратно в Base64 и подставив в URL исследуемого сайта, ты получишь заветную ошибку выполнения запроса к базе данных.
Если нужен шестнадцатеричный редактор, то для Android он тоже есть. С помощью HexEditor ты сможешь редактировать любые файлы, в том числе и системные, если повысишь программе права до суперпользователя. Отличная замена стандартному редактору текстов, позволяющая с легкостью найти нужный фрагмент текста и изменить его.
Wapiti
сканер
- File disclosure (Local and remote include/require, fopen, readfile…)
- Database Injection (PHP/JSP/ASP SQL Injections and XPath Injections)
- XSS (Cross Site Scripting) injection (reflected and permanent)
- Command Execution detection (eval(), system(), passtru()…)
- CRLF Injection (HTTP Response Splitting, session fixation…)
- XXE (XML External Entity) injection
- SSRF (Server Side Request Forgery)
- Use of know potentially dangerous files
- Weak .htaccess configurations that can be bypassed
- Presence of backup files giving sensitive information
- Shellshock
php.testsparker.compremium.bgabank.com Wapiti до уровня OWASP ZAP, конечно, не дотягивает. Но все же он отработал качественнее W9scan
Автоматизация
Итого, мы рассмотрели три класса проблем, связанных с неправильной реализацией межпроцессных взаимодействий на Android, и поняли, что тестировать это все довольно трудоемко: требуется изучать манифест приложения и каждый объявленный компонент, иногда даже заглядывать в исходники. Поэтому попытаемся разобраться, есть ли возможность автоматизировать эту задачу.
Когда говорят про автоматизацию тестирования безопасности, то обычно делят инструменты на две группы: динамические и статические сканеры.
Динамические сканеры
Динамические сканеры тестируют работающее приложение, отправляя ему тестовые запросы и ожидая определённой реакции.
Статические сканеры применяют статический анализ исходного кода для поиска заранее известных паттернов в коде, которые могут означать наличие уязвимости.
Среди всех динамических сканеров, которые вообще существуют для тестирования безопасности на Android, самым распространенным является Drozer. Drozer — проект с открытым исходным кодом, поддерживаемый F-Secure.
Сам сканер представляет собой клиент-серверное приложение. В качестве сервера выступает то, что в Drozer называется консоль — скрипт на питоне, запущенный у вас на компьютере. В качестве клиента — Drozer Agent, который устанавливается на устройство или эмулятор. Соответственно, консоль дает агенту команды, а агент эти команды передаёт тестируемому приложению и полученный ответ передаёт в консоль.
Чем нам может помочь Drozer? Drozer не позволяет написать полностью автоматические тесты для поиска обсуждаемого типа проблем, но поможет автоматизировать часть работы, которую мы выполняли, когда изучали манифест и искали объявление общедоступных компонентов в исходниках приложения.
На слайде получение информации обо всех доступных извне компонентах или о том, какие права и какой доступ предоставляется для каждой активности.
Статические сканеры
В другом углу ринга — статические анализаторы. И в этом смысле Android-разработчикам повезло. Во-первых, есть официальный Android Lint. Про Android Lint подробно написано в документации для разработчиков.
А я хотела бы подробнее рассказать про Find Security Bugs. Это проект с открытым исходным кодом, представляющий собой набор ориентированных на поиск уязвимостей правил для популярного статического анализатора SpotBugs (aka FindBugs). Find Security Bugs содержит в том числе специфичные для андроида проверки. Для того, чтобы интегрировать его в свой проект, нужно буквально добавить три строки в gradle скрипт, примерно как на слайде.
Итак, запустим Find Security Bugs на том же самом InsecureBankV2 и посмотрим, что он нашёл.
Мы видим сообщение о том, что broadcast может быть получен зловредным приложением. Смотрим код: строчка, на которую он ругается, это та же самая проблема, которую мы уже нашли в предыдущих примерах. То есть это рассылка данных пользователя с использованием неявного интента. Find Security Bugs объясняет, что пошло не так и как проблему нужно исправить.
На скриншоте GUI, который поставляется вместе с FindBugs, но, как я сказала, те же самые подсвеченные строчки с багами и рекомендациями по исправлению можно увидеть из IDE, например в Android Studio.
FindBugs позволяет также расширять набор правил, которые используются для обнаружения уязвимостей. Я рассказывала об этом на прошлом Heisenbug, доклад можно посмотреть на YouTube.
Преимущество статических анализаторов в том, что их запуск не требует дополнительных затрат на тестирование и может происходить как угодно часто, что позволяет обнаружить проблемы быстрее. Недостаток — в низкой точности и полноте.
Межпроцессное взаимодействие
Приложение на Android имеет компонентную модель и может состоять из компонентов нескольких типов.
- Activity — компонент, отвечающий за UI приложения; один экран, который видит пользователь.
- Service отвечает за выполнение операций в бэкграунде. Он может продолжать работу даже, когда приложение не отображается.
- BroadcastReceiver обеспечивает обмен сообщениями между приложениями и операционной системой.
- ContentProvider — компонент для доступа к данным, которые хранит приложение.
В одном приложении может быть больше, чем один компонент каждого типа
В контексте этого поста важно, что некоторые компоненты могут быть доступны для других приложений на этом же устройстве
То, какие компоненты определены в приложении, доступны они или нет, какими свойствами обладают, описано в файле AndroidManifest. Это XML-файл, который поставляется вместе с приложением.
Таким образом приложения на устройстве предоставляют интерфейс, который позволяет им общаться друг с другом путем вызова компонентов, объявленных как публичные (их чаще называют экспортируемые). Это фундаментальная возможность платформы Android. Она позволяет организовать ту самую экосистему из приложений на телефоне, к которой мы так привыкли. К примеру, этой возможностью пользуется камера, когда вы отправляете фото сразу из камеры в мессенджер или в почту. На этой же функциональности построена возможность для приложения дожидаться смс и автоматически подставлять код подтверждения за вас, или возможность для одного приложения прочитать данные другого, например список телефонов с телефонной книжки.
Разработчик не может делать никаких утверждений об остальных приложениях на этом же устройстве и должен предполагать, что рядом может оказаться зловредное приложение, которое будет нарушать существующие контракты и пытаться злоупотребить возможностями платформы. Другими словами, мы всегда должны подозревать, что у пользователя установлен какой-то вирус.
Частое возражение, которое я слышу от разработчиков, что такая угроза существует теоретически, но на практике она маловероятна, поскольку приложения всегда устанавливаются из Google Play, а там они предварительно проверяются. Сложно себе представить, как вообще вирусы могут оказаться на устройстве пользователя.
Это не так.
Google, конечно, совершает феноменальные усилия, чтобы модерировать приложения и не допускать подозрительные или опасные в Стор. Но тем не менее, мы постоянно видим новости о том, что обнаружена очередная сеть приложений, которая признана вредоносной и удалена. До момента удаления такие приложения набирают миллионы установок. Быстрый поиск выдаёт нам десятки таких новостей за 2019 год, то есть проблема реальна, и вероятность того, что какой-то пользователь себе вирус установит, существует. Можно даже с уверенностью сказать, что у части из пользователей вашего приложения вирус установлен.
DoorDash (как пример зарубежного популярного приложения, опасного для пользователя)*
*Сервис доставки еды, которым пользуются свыше 18 млн потребителей.
Томашек рекомендует как можно скорее удалить приложение, но это не значит, что, удалив его, вы решите проблему на корню.
«К сожалению, некоторые приложения могут использовать так называемые «удаленные трекеры», которые в основном предупреждают разработчика приложения, что пользователь удалил приложение, — объясняет он. — Хотя приложение больше не сможет отслеживать вас или собирать ваши данные, вы можете заметить, что на вашем телефоне повсюду появляются рекламные объявления о приложении, которое вы удалили, пытаясь побудить вас загрузить его снова».
УДАЛЕННЫЙ ДОСТУП:
Получив доступ к удаленному хосту, нужно иметь возможность им воспользоваться. А для этого нужны клиенты. Начнем с SSH, где стандартом де-факто уже является ConnectBot. Помимо удобного интерфейса, предоставляет возможность организации защищенных туннелей через SSH подключения.
Полезная программа, позволяющая подключаться к удаленному рабочему столу через сервисы RDP или VNC. Очень радует, что это два клиента в одном, нет необходимости использовать разные тулзы для RDP и VNC.
Специально написанный для Android браузер MIB, с помощью которого можно управлять сетевыми устройствами по протоколу SNMP. Сможет пригодиться для развития вектора атаки на различные маршрутизаторы, ведь стандартные community string (проще говоря, пароль для доступа) для управления через SNMP еще никто не отменял.
Facebook Messenger
CHESNOT/GETTY IMAGES
Facebook Messenger — приложение для обмена мгновенными сообщениями и видео, созданное Facebook.
Поскольку Messenger — это отдельное приложение Facebook, Аттила Томашек, эксперт по цифровой конфиденциальности в компании ProPrivacy, считает, что его также важно внести в список. «Удаление Facebook Messenger — это простая задача, основанная на пугающе слабом подходе компании к защите конфиденциальности пользователей, — говорит Томашек
— Сообщения, которые вы отправляете и получаете с помощью приложения Facebook Messenger, не зашифрованы, а это означает, что все они доступны для просмотра любому сотруднику Facebook с соответствующим уровнем доступа»
«Удаление Facebook Messenger — это простая задача, основанная на пугающе слабом подходе компании к защите конфиденциальности пользователей, — говорит Томашек. — Сообщения, которые вы отправляете и получаете с помощью приложения Facebook Messenger, не зашифрованы, а это означает, что все они доступны для просмотра любому сотруднику Facebook с соответствующим уровнем доступа».
«Более того, приложение автоматически сканирует любые ссылки или фотографии, которые вы отправляете, и если какой-либо подозрительный контент будет отмечен алгоритмом, ваши сообщения будут прочитаны модераторами Facebook»*, — добавляет Томашек.
*Скорее всего, речь идет все же о рынке США; неизвестно, премодерируются ли сообщения подобным образом в других странах.
Приложения на смартфоне, которые желательно удалить (если вам важна безопасность и анонимность)
Некоторые из обширного списка наиболее популярных приложений для смартфонов, на которые привыкли полагаться, могут представлять некоторую (порой и достаточно серьезную) опасность, превышающую положительные качества программ. Предлагаем ознакомиться со списком таких программ и предоставим слово экспертам в сфере компьютерной безопасности.
Для этого есть приложение… но стоит ли его использовать?
Все мы безусловно любим наши мобильные телефоны и те миллионы способов, которыми они соединяют нас и облегчают нашу жизнь. Но некоторые из тех приложений могут стать тем «трамплином», от которого киберпреступники могут оттолкнуться для кражи вашей личной информации или даже взлома ваших банковских счетов.
Итак, что делать, чтобы минимизировать риски кражи конфиденциальной информации и какие популярные приложения лучше обходить стороной, ведь они могут без вашего ведома похищать ваши данные…
МАНИПУЛЯЦИИ С ТРАФИКОМ:
Основанный на tcpdump сниффер честно логирует в pcap-файл все данные, которые далее можно изучить с помощью привычных утилит вроде Wireshark или Network Miner. Так как никакие возможности для MITM-атак в нем не реализованы, это скорее инструмент для анализа своего трафика. К примеру, это отличный способ изучить то, что передают программы, установленные на твой девайс из сомнительных репозиториев.
Если говорить о боевых приложениях для Android, то одним из самых нашумевших является FaceNiff, реализующий перехват и внедрение в перехваченные веб-сессии. Скачав APK-пакет с программой, можно практически на любом Android-смартфоне запустить этот хек-инструмент и, подключившись к беспроводной сети, перехватывать аккаунты самых разных сервисов: Facebook, Twitter, «ВКонтакте» и так далее — всего более десяти. Угон сессии осуществляется средствами применения атаки ARP spoofing, но атака возможна только на незащищенных соединениях (вклиниваться в SSL-трафик FaceNiff не умеет). Чтобы сдержать поток скрипткидисов, автор ограничил максимальное число сессий тремя.
l
Если создатель FaceNiff хочет за использование денежку, то DroidSheep — это полностью бесплатный инструмент с тем же функционалом. Правда, на официальном сайте ты не найдешь дистрибутива (это связано с суровыми законами Германии по части security-утилит), но его без проблем можно найти в Сети. Основная задача утилиты — перехват пользовательских веб-сессий популярных социальных сетей, реализованный спомощью все того же ARP Spoofing’а. А вот с безопасными подключениями беда: как и FaceNiff, DroidSheep наотрез отказывается работать с HTTPS-протоколом.
Эта утилита также демонстрирует небезопасность открытых беспроводных сетей, но несколько в другой плоскости. Она не перехватывает пользовательские сессии, но позволяет с помощью спуфинг-атаки пропускать HTTP-трафик через себя, выполняя с ним заданные манипуляции. Начиная от обычных шалостей (заменить все картинки на сайте троллфейсами, перевернуть все изображения или, скажем, подменив выдачу Google) и заканчивая фишинговыми атаками, когда пользователю подсовываются фейковые страницы таких популярных сервисов, как facebook.com, linkedin.com, vkontakte.ru и многих других.
Если спросить, какая хак-утилита для Android наиболее мощная, то у Anti, пожалуй, конкурентов нет. Это настоящий хакерский комбайн. Основная задача программы — сканирование сетевого периметра. Далее в бой вступают различные модули, с помощью которых реализован целый арсенал: это и прослушка трафика, и выполнение MITM-атак, и эксплуатация найденных уязвимостей. Правда, есть и свои минусы. Первое, что бросается в глаза, — эксплуатация уязвимостей производится лишь с центрального сервера программы, который находится в интернете, вследствие чего о целях, не имеющих внешнего IP-адреса, можно забыть.
Paros
сканер
- A1: Injection — SQLinjection, SQLinjection Fingerprint (места, где потенциально может быть SQLinj)
- A6: Security Misconfiguration — Directory browsing, ISS default file, Tomcat source file disclosure, IBM WebSphere default files и некоторые другие стандартные или устаревшие файлы (Obsolete file), содержащие исходный код и прочее.
- A7: XSS
Поиск включенного автозаполнения для форм паролей
При этом если у поля input есть атрибут type=«password», получается ложное срабатывание.
CRLF injection
Secure page browser cache (кэширование страниц в браузере c важной информацией)
Возможность сканирования защищенной области пользователя (личный кабинет)
Возможность сканирования веб-приложений в локальной сети. php.testsparker.comH: SQL injectionM: XSSM: Устаревшие файлы с исходным кодомM: Использование автозаполнения в формах с важной информацией (пароли и прочее).L: Раскрытие внутренних IPpremium.bgabank.comM: Directory browsingM: Использование автозаполнения в формах с важной информацией (пароли и прочее).заставляют отказаться от его использования
php.testsparker.comH: SQL injectionM: XSSM: Устаревшие файлы с исходным кодомM: Использование автозаполнения в формах с важной информацией (пароли и прочее).L: Раскрытие внутренних IPpremium.bgabank.comM: Directory browsingM: Использование автозаполнения в формах с важной информацией (пароли и прочее).заставляют отказаться от его использования
Разоблачение шпионов и бэкап данных
Хорошо написанный вирус сложно обнаружить даже экспертам в этой области. И все же это относится лишь к хитроумным инструментам шпионажа — обычные «вынюхиватели» разоблачаются довольно быстро. Действовать нужно следующим образом: проследите, не вела ли операционная система себя странно в последнее время, например не всплывала ли во время просмотра сайтов назойливая реклама, перенаправляющая браузер совершенно на другую страницу.
Другим симптомом заражения могут служить незнакомые и непонятные иконки приложений. При возникновении сомнений такие приложения следует удалить. Как правило, злоумышленники рассчитывают на помощь пользователя. К примеру, они могут послать в SMS ссылку на загрузку.
Для предотвращения таких угроз возьмите себе за правило устанавливать приложения исключительно из официального магазина. Счет за услуги мобильной связи также может указать на работу шпионящих вирусов. Сопоставьте количество потраченных мегабайт со сведениями, предоставляемыми смартфоном.
Если значения разнятся существенно, вероятно, что у вас установлены приложения, скрытно передающие информацию: кейлогеры и другие шпионские программы пересылают украденные данные киберпреступнику через ваше соединение.
Чтобы предотвратить дальнейшее заражение следуйте нашей инструкции: для начала установите антивирус. Большинство из них пусть и не бесплатны, однако обеспечивают надежную и автоматическую защиту от вирусов в фоновом режиме. Если вам не требуется мощный антивирусный сканер, воспользуйтесь бесплатным решением Antiy AVL, который так же хорошо обнаруживает вредоносное ПО на устройстве.
Если антивирус не нашел никакого заражения, изучите свою систему сами. Для этого загрузите из Play Market приложение Network Connections, позволяющее зарегистрировать весь сетевой трафик и узнать, к чему подключаются приложения и сервисы. Непонятный расход трафика, обнаруженный в списке, может сигнализировать о шпионском ПО.
Однако от некоторых типов вирусов невозможно избавиться простым удалением, поскольку особо коварные из них без проблем выживают после этого. В таких случаях не обойтись без сброса телефона к заводским настройкам.
Прежде чем приступить к этой операции, следует сделать резервную копию данных на устройстве, однако не с помощью стандартной функции аккаунта Google, поскольку отдельные «вредители» скрываются даже там. Выполните бэкап утилитой MyPhoneExplorer. В завершение сбросьте настройки смартфона до заводских и восстановите на нем резервную копию данных.
Изоляция устройств благодаря блокировке доступа
Мы не рекомендуем активировать новомодные методы биометрической защиты смартфонов. Причина: современное распознавание зрачка в устройствах Samsung Galaxy можно обмануть простой фотографией, как было доказано группой хакеров Chaos Computer Club.
Остается еще сканер отпечатка пальца. Однако американские исследователи уже разработали «набор отмычек» и к этой технологии: они используют тот факт, что сканер на нынешних гаджетах обладает лишь ограниченным разрешением. С небольшим набором отпечатков исследователям удалось воспроизвести множество различных вариантов.
Результаты говорят об эффективности данного метода: на сегодняшний день с легкостью вскрываются 65% всех протестированных устройств. Гораздо надежнее использование PIN-кодов или паролей. Задайте PIN из шести цифр или же пароль, состоящий из букв и цифр.
Оба варианта осуществляются из «Настроек» через меню «Безопасность | Блокировка экрана». Чтобы после этого не отказываться от комфорта, можно воспользоваться функцией Android «Smart Lock». Она автоматически разблокирует смартфон, если поблизости окажется заранее указанное Bluetooth-устройство, например умные часы или Hi-Fi-система в автомобиле.
Для конфигурации зайдите в «Настройки» телефона и в меню «Безопасность | Smart Lock | Надежные устройства» нажмите на «Добавить устройство».
- Как обеспечить надежную защиту учетных записей
- Как защитить от взлома домашний ПК
Последствия
Если какой-то из компонентов приложения не предназначался быть доступным, но может быть вызван извне, то существует возможность обойти логику работы приложения. Типичный пример — экраны с дополнительным подтверждением. Например, мессенджеры или интернет-банки требуют дополнительный пин-код для того, чтобы войти в приложение, даже если телефон разлочен. И если активность, которая показывается после этого дополнительного подтверждения, экспортируемая, то мы можем вызвать ее напрямую и таким образом обойти запрос пин-кода.
Другим примером возможных последствий является злоупотребление привилегиями, которые выданы нашему приложению. Приложение запрашивает привилегированный доступ к данным пользователя или возможностям устройства для того, чтобы совершать полезную для пользователя работу. Зловредное приложение с меньшей вероятностью получит разрешение от пользователя на такой же доступ. Но если приложение, которое совершает какие-то потенциально опасные вызовы, экспортирует компоненты, которые эти вызовы совершают, то зловредное приложение может воспользоваться ими, чтобы повысить свои привилегии.
Частный случай такого привилегированного доступа — доступ в приватную папку приложения. Как вы знаете, приложения на Android выполняются в песочнице, и каждому приложению выделена область файловой системы, которая другим приложениям недоступна. Если путь, по которому приложение читает или пишет в файл, может быть изменен, то другое приложение на этом же устройстве получает возможность возможность доступа к приватной папке уязвимого приложения.
Типичным местом концентрации таких уязвимостей являются активности, которые реализуют возможность «поделиться» в приложении — как правило, они получают путь к тому, что надо отправить, в интенте. Занятные последствия таких ошибок связаны еще с особенностями Android NDK. Android позволяет использовать код на C/C++ при разработке приложения. Скомпилированные нативные библиотеки (.so) упаковываются в apk и после установки приложения размещаются в приватной папке рядом с данными. Это значит, если мы научились записывать произвольные файлы в приватную папку, то мы можем и переписать .so-файлы библиотек и выполнять произвольный код в контексте приложения. Фактически, это уязвимость типа RCE — Remote Code Execution, и предоставляет атакующему полный контроль над уязвимым приложением.
И еще пример. Представим себе возвращающую результат экспортируемую активность. Если доступ к ней не ограничен, то вызвать ее и следовательно получить результат может произвольное приложение из тех, что установлены на том же устройстве. Если в качестве результатов мы возвращаем данные, которые не должны быть разглашены, то наше приложение уязвимо.
Давайте рассмотрим снова пример. Вернёмся к нашей активности post_login, которая, как мы уже выяснили, может быть вызвана извне. Посмотрим в код.
Активность использует сохраненные в приватной папке данные для того, чтобы получить новую сессию и вернуть ее вызвавшему компоненту. В случае, если активность была вызвана сторонним приложением, оно получит доступ к аккаунту пользователя.
Пример 3
И третья разновидность уязвимостей, которые можно встретить в Android-приложениях, связана с неверным использованием широковещательных рассылок. Помните, мы говорили про неявные интенты — для них не указывается явно компонент, который будет вызван. В случае с широковещательными рассылками это тоже работает, то есть можно не указывать в явном виде получателя, а предоставить андроиду разослать эти оповещения, основываясь на зарегистрированных получателях.
Посмотрим снова на InsecureBankV2 и найдём там такой кусочек кода.
Что здесь происходит? Мы видим, что создается интент, при этом не указан компонент, который этот интент будет обрабатывать, то есть он является неявным. Мы добавляем номер телефона и пароль пользователя в дополнительные параметры интента. Опасность здесь в том, что другое приложение на устройстве пользователя может зарегистрировать соответствующий BroadcastReceiver и тоже получить эти данные. Для этого нужно зарегистрировать BroadcastReceiver и соответствующий фильтр.
Посмотрим, что это работает. Запустим в левой части экрана InsecureBankV2, а в правой части экрана наше зловредное приложение, которое подслушивает данные пользователя. Как только пользователь нажмет на Change Password, отправится этот неявный интент. И поскольку зловредное приложение зарегистрировало свой BroadcastReceiver, оно перехватит данные пользователя.
POUNGSAED-STUDIO/SHUTTERSTOCK
Еще одно приложение, которым владеет Facebook и которое, по мнению зарубежных экспертов, нельзя назвать безопасным и осторожно относящимся к конфиденциальным данным, — речь, как вы поняли, про чрезвычайно популярный Инстаграм. Что еще более тревожно — обновления могут автоматически добавлять дополнительные возможности, расширяя их на вашем устройстве
Что еще более тревожно — обновления могут автоматически добавлять дополнительные возможности, расширяя их на вашем устройстве.
«Люди должны помнить, что в Facebook и во многих других виртуальных местах вы продукт, а не покупатель, — говорит Солсбери. — Информация о вас, о том, что вы делаете, куда вы идете, с кем взаимодействуете и т. д., крайне ценна для рекламодателей и, конечно же, владельцев ресурса».
Wapiti
XSSer
Cross-Site Scripter (XSSer) – это инструмент автоматизации, который пытается обнаружить и использовать уязвимости межсайтового скриптинга в веб-приложениях и веб-сайтах.
Он также включает несколько вариантов обхода фильтров обнаружения XSS.
SSLyze
Безопасность транспортного уровня (TLS; также известный как «SSL») – это криптографический протокол, предназначенный для установления защищенной связи между компьютерами, работающими через Интернет. SSLyze анализирует конфигурацию SSL данного веб-сайта и сообщает о неправильной конфигурации и критических уязвимостях.
DMitry
DMitry – это инструмент сбора информации, который пытается собрать как можно больше информации о хосте.
Он собирает информацию о поддоменах, адреса электронной почты, информацию о доступности, информацию об открытых портах, ответы на запросы whois и многое другое.
DNSmap
DNSmap – это еще один инструмент перечисления DNS, предназначенный для использования на этапе сбора информации в ходе тестирования на проникновение.
Перебор поддоменов – это распространенный и эффективный метод обнаружения дополнительных серверов и элементов управления IP-адресами целевым веб-сайтом или компанией.
Шаг 3 Клонируйте хранилище RapidScan
Теперь, когда у нас есть четкое представление о том, какие инструменты использует RapidScan, давайте клонируем репозиторий и начинаем сканирование веб-сайтов.
Затем перейдите (cd) во вновь созданный каталог rapidscan /.
И дать ему разрешение на выполнение в Кали.
Шаг 4 Запустите Screen (необязательно)
При использовании Android и UserLAnd для длительных и длительных сканирований соединение SSH может неожиданно оборваться.
Сбои SSH могут привести к тому, что выполняемое сканирование завершится и завершится ошибкой – обычно без сохранения накопленных результатов сканирования.
RapidScan также может продолжать работать в фоновом режиме без возможности повторного подключения к сеансу для просмотра прогресса.
Screen позволит сеансам терминала сохраниться, если соединение SSH внезапно отключится. Чтобы начать новый сеанс экрана, просто введите screen в терминале.
Шаг 5 Запустите RapidScan
Параметры справки и легенда RapidScan можно просмотреть с помощью аргумента –help.
Наконец, для сканирования веб-сайта просто укажите целевой домен, а остальное будет обрабатывать RapidScan.
В RapidScan есть много инструментов.
В зависимости от скорости сети, времени отклика целевого домена и ЦП Android сканирование одного веб-сайта может занять до трех часов.
Шаг 6: проанализируйте отчеты об уязвимостях RapidScan
Когда RapidScan завершит аудит целевого домена, отчет, содержащий результаты, будет доступен в каталоге rapidscan / с именем файла «RS-Vulnerability-Report».
Отчеты об уязвимостях могут легко накапливать более 300 строк данных, поэтому обязательно используйте команду less для просмотра файла, а не cat.
Less позволит непрерывную прокрутку отчета, нажимая кнопки вверх и вниз.
Подробный вывод каждого сканирования будет добавлен в файл «RS-Vulnerability-Report».
Сообщения об ошибках сканирования также будут включены в файл, указывающий, было ли сканирование определенного инструмента успешным.
Вот и все, что нужно сделать!
RapidScan – это мощный инструмент автоматизации, который делает аудит сайтов простым.
С помощью нескольких команд каждый может найти распространенные уязвимости и эксплойты с помощью некорневого устройства Android.
Если у вас есть какие-либо вопросы или проблемы, обязательно оставьте комментарий ниже.
