Безопасность компьютерных систем 2018/Уязвимости мобильных приложений

Материал из Wiki - Факультет компьютерных наук
Перейти к: навигация, поиск

ПО, которое необходимо скачать/установить к семинару (всё работает под Windows/Mac Os):

По вопросам установки ПО можно писать в tg: @nastya_jane или @rakatakatakata

Обязательно:

1. Эмулятор android:

   Установить genymotion personal edition (выбрать вариант с VirtualBox, если он не был ранее установлен): https://www.genymotion.com/fun-zone/ (будет необходимо создать учётную запись)
   Запустить genymotion. Выбрать тип использования “For personal use”
   Нажать + (Add new virtual device)
   Зарегистрироваться с использованием созданной ранее учётной записи
   Выбрать параметры виртуального девайса:
   Android version – 6.0.0
   Device model – Custom Phone
   Нажать “Next” и скачать образ выбранного виртуального девайса
   Запустить образ виртуального девайса
   

2. Скачать архив https://drive.google.com/file/d/0B7Ud4xPbhmAKWkRmSEh2aVNGVHc/view?usp=sharing . Запустить образ виртуального девайса. Перетащить в окно виртуального девайса скачанный архив, со всем согласиться. После установки перезапустить виртуальный девайс.

3. Установить Burp Suite Free Edition: https://portswigger.net/burp/communitydownload.

4. Установить Java Runtime Environment: http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html

5. Скачать dex2jar: https://github.com/pxb1988/dex2jar/releases/download/2.0/dex-tools-2.0.zip.

6. Скачать JD-GUI: http://jd.benow.ca/.

7. Установить apktool: https://ibotpeaches.github.io/Apktool/install/.

8. Установить SQlite browser: http://sqlitebrowser.org/.

9. Обязательно проверить, что всё ПО, скачанное на предыдущих пунктах, запускается без ошибок (консольные утилиты пока можно запустить без параметров). В случае проблем – попробовать снова, поискать решения в google, если ничего не помогает – написать в tg (контакты выше).

10. Проверить, что запускается утилита adb (автоматически скачивается вместе с Genymotion). В Windows, например, она будет расположена примерно по такому пути: "C:\Program Files\Genymobile\Genymotion\tools\adb.exe". Для удобства можно прописать путь в переменную окружения PATH.

11. Скачать уязвимое приложения для тестов: http://payatu.com/wp-content/uploads/2016/01/diva-beta.tar.gz

12. Скачать архив с другими приложениями для тестов: https://drive.google.com/file/d/0B7Ud4xPbhmAKU0dRWXhzWGV4SUk/view?usp=sharing

Желательно:

   Установить drozer : https://labs.mwrinfosecurity.com/tools/drozer/ (при установке антивирус может среагировать на некоторые модули - надо добавить их в исключения)
          1.1 Скачать и установить  Java SE Development Kit 8u144
          1.2 Открыть командную строку. Перейти в каталог, куда установился drozer. Ввести команду drozer console (или, в случае использования windows, команду drozer.bat console).  Проверить наличие ошибки “Cannot find java”. 
          Если ошибки нет, то всё хорошо.
          1.3 Если есть ошибка “Cannot find java”, то вы скорее всего работаете под windows. В таком случае необходимо создать файл .drozer_config (без расширения .txt) в домашнем каталоге и прописать туда путь к java.exe.
           Содержимое файла .drozer_config должно быть, например, таким:
                 [executables]
                 java = C:\Program Files\Java\jdk1.8.0_144\bin\java.exe            
          После создания конфигурационного файла снова ввести команду drozer.bat console. Ошибка “Cannot find java” должна исчезнуть.
          Подробнее см. первую запись https://github.com/mwrlabs/drozer/wiki/FAQ)         
          1.4 Скачать agent.apk : https://github.com/mwrlabs/drozer/releases/download/2.3.4/drozer-agent-2.3.4.apk
          1.5 Скачать sieve.apk : https://github.com/mwrlabs/drozer/releases/download/2.3.4/sieve.apk