Безопасность компьютерных систем 2018/Уязвимости мобильных приложений — различия между версиями

Материал из Wiki - Факультет компьютерных наук
Перейти к: навигация, поиск
 
(не показано 8 промежуточных версии ещё одного участника)
Строка 1: Строка 1:
ПО, которое необходимо скачать/установить к семинару (всё работает под Windows/Mac Os):
+
[https://drive.google.com/file/d/1_g6BuDSJvJpCWMiDdt_FyaE55MQ7z8J8/view?usp=sharing| Презентация с семинара.]
 +
 
 +
ПО, которое необходимо ('''обязательно!''') скачать/установить к семинару (всё работает под Windows/Linux/Mac Os):
  
 
По вопросам установки ПО можно писать в tg: @nastya_jane или @rakatakatakata  
 
По вопросам установки ПО можно писать в tg: @nastya_jane или @rakatakatakata  
 
'''Обязательно:'''
 
  
 
1. Эмулятор android:
 
1. Эмулятор android:
Строка 15: Строка 15:
 
     Нажать “Next” и скачать образ выбранного виртуального девайса
 
     Нажать “Next” и скачать образ выбранного виртуального девайса
 
     Запустить образ виртуального девайса
 
     Запустить образ виртуального девайса
 
+
   
 
2. Скачать архив https://drive.google.com/file/d/0B7Ud4xPbhmAKWkRmSEh2aVNGVHc/view?usp=sharing . Запустить образ виртуального девайса. Перетащить в окно виртуального девайса скачанный архив, со всем согласиться. После установки перезапустить виртуальный девайс.
 
2. Скачать архив https://drive.google.com/file/d/0B7Ud4xPbhmAKWkRmSEh2aVNGVHc/view?usp=sharing . Запустить образ виртуального девайса. Перетащить в окно виртуального девайса скачанный архив, со всем согласиться. После установки перезапустить виртуальный девайс.
  
3. Установить Burp Suite Free Edition: https://portswigger.net/burp/freedownload. Проверить, что утилита запускается.
+
3. Установить Burp Suite Free Edition: https://portswigger.net/burp/communitydownload.
  
 
4. Установить Java Runtime Environment: http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html
 
4. Установить Java Runtime Environment: http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html
  
5. Скачать dex2jar: https://github.com/pxb1988/dex2jar/releases/download/2.0/dex-tools-2.0.zip. Проверить, что утилита запускается.
+
5. Скачать dex2jar: https://github.com/pxb1988/dex2jar/releases/download/2.0/dex-tools-2.0.zip.
  
6. Скачать JD-GUI: http://jd.benow.ca/. Проверить, что утилита запускается.
+
6. Скачать JD-GUI: http://jd.benow.ca/.
  
7. Установить apktool: https://ibotpeaches.github.io/Apktool/install/. Проверить, что утилита запускается
+
7. Установить apktool: https://ibotpeaches.github.io/Apktool/install/.
  
8. Установить SQlite browser: http://sqlitebrowser.org/. Проверить, что утилита запускается.
+
8. Установить SQlite browser: http://sqlitebrowser.org/.
  
9. Скачать уязвимое приложения для тестов: http://payatu.com/wp-content/uploads/2016/01/diva-beta.tar.gz
+
9. Обязательно проверить, что всё ПО, скачанное на предыдущих пунктах, запускается без ошибок (консольные утилиты пока можно запустить без параметров).  
 +
В случае проблем – попробовать снова, поискать решения в google, если ничего не помогает – написать в tg (контакты выше).
  
10. Скачать архив с другими приложениями для тестов: https://drive.google.com/file/d/0B7Ud4xPbhmAKU0dRWXhzWGV4SUk/view?usp=sharing
+
10. Проверить, что запускается утилита adb (автоматически скачивается вместе с Genymotion). В Windows, например, она будет расположена примерно по такому пути: "C:\Program Files\Genymobile\Genymotion\tools\adb.exe", в MacOS – /Applications/Genymotion.app/Contents/MacOS/tools/adb. Для удобства лучше прописать путь в переменную окружения  PATH.
  
'''Желательно:'''
+
11. Скачать уязвимое приложения для тестов: http://payatu.com/wp-content/uploads/2016/01/diva-beta.tar.gz
  
    Установить drozer : https://labs.mwrinfosecurity.com/tools/drozer/ (при установке антивирус может среагировать на некоторые модули - надо добавить их в исключения)
+
12. Скачать архив с другими приложениями для тестов: https://drive.google.com/file/d/0B7Ud4xPbhmAKU0dRWXhzWGV4SUk/view?usp=sharing
          1.1 Скачать и установить  Java SE Development Kit 8u144
+
          1.2 Открыть командную строку. Перейти в каталог, куда установился drozer. Ввести команду drozer console (или, в случае использования windows, команду drozer.bat console).  Проверить наличие ошибки “Cannot find java”.
+
          Если ошибки нет, то всё хорошо.
+
          1.3 Если есть ошибка “Cannot find java”, то вы скорее всего работаете под windows. В таком случае необходимо создать файл .drozer_config (без расширения .txt) в домашнем каталоге и прописать туда путь к java.exe.
+
            Содержимое файла .drozer_config должно быть, например, таким:
+
                  [executables]
+
                  java = C:\Program Files\Java\jdk1.8.0_144\bin\java.exe           
+
          После создания конфигурационного файла снова ввести команду drozer.bat console. Ошибка “Cannot find java” должна исчезнуть.
+
          Подробнее см. первую запись https://github.com/mwrlabs/drozer/wiki/FAQ)       
+
          1.4 Скачать agent.apk : https://github.com/mwrlabs/drozer/releases/download/2.3.4/drozer-agent-2.3.4.apk
+
          1.5 Скачать sieve.apk : https://github.com/mwrlabs/drozer/releases/download/2.3.4/sieve.apk
+

Текущая версия на 14:17, 18 сентября 2018

Презентация с семинара.

ПО, которое необходимо (обязательно!) скачать/установить к семинару (всё работает под Windows/Linux/Mac Os):

По вопросам установки ПО можно писать в tg: @nastya_jane или @rakatakatakata

1. Эмулятор android: 

   Установить genymotion personal edition (выбрать вариант с VirtualBox, если он не был ранее установлен): https://www.genymotion.com/fun-zone/ (будет необходимо создать учётную запись)
   Запустить genymotion. Выбрать тип использования “For personal use”
   Нажать + (Add new virtual device)
   Зарегистрироваться с использованием созданной ранее учётной записи
   Выбрать параметры виртуального девайса:
   Android version – 6.0.0
   Device model – Custom Phone
   Нажать “Next” и скачать образ выбранного виртуального девайса
   Запустить образ виртуального девайса

2. Скачать архив https://drive.google.com/file/d/0B7Ud4xPbhmAKWkRmSEh2aVNGVHc/view?usp=sharing . Запустить образ виртуального девайса. Перетащить в окно виртуального девайса скачанный архив, со всем согласиться. После установки перезапустить виртуальный девайс.

3. Установить Burp Suite Free Edition: https://portswigger.net/burp/communitydownload.

4. Установить Java Runtime Environment: http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html

5. Скачать dex2jar: https://github.com/pxb1988/dex2jar/releases/download/2.0/dex-tools-2.0.zip.

6. Скачать JD-GUI: http://jd.benow.ca/.

7. Установить apktool: https://ibotpeaches.github.io/Apktool/install/.

8. Установить SQlite browser: http://sqlitebrowser.org/.

9. Обязательно проверить, что всё ПО, скачанное на предыдущих пунктах, запускается без ошибок (консольные утилиты пока можно запустить без параметров). В случае проблем – попробовать снова, поискать решения в google, если ничего не помогает – написать в tg (контакты выше).

10. Проверить, что запускается утилита adb (автоматически скачивается вместе с Genymotion). В Windows, например, она будет расположена примерно по такому пути: "C:\Program Files\Genymobile\Genymotion\tools\adb.exe", в MacOS – /Applications/Genymotion.app/Contents/MacOS/tools/adb. Для удобства лучше прописать путь в переменную окружения PATH.

11. Скачать уязвимое приложения для тестов: http://payatu.com/wp-content/uploads/2016/01/diva-beta.tar.gz

12. Скачать архив с другими приложениями для тестов: https://drive.google.com/file/d/0B7Ud4xPbhmAKU0dRWXhzWGV4SUk/view?usp=sharing

Источник — «http://wiki.cs.hse.ru/index.php?title=Безопасность_компьютерных_систем_2018/Уязвимости_мобильных_приложений&oldid=29191»