Занятие 15 Проведение работ по анализу защищенности мобильного приложения Android

###### tags: `module10` `mobile` [ToC] # Занятие 15 Проведение работ по анализу защищенности мобильного приложения Android ## Видеозапись урока {%youtube LFyW4CfVw34 %} ### timecodes 00:00:00 00:13:35 вступление 00:15:50 разбираем скрипт по управлению приложением 00:21:15 запускаем 00:23:05 как дела с домашкой? 00:24:50 скрипт управляет кнопками в приложение 00:26:35 как работает этот скрипт 00:37:30 вопросы - нет вопросов 00:38:30 собираемся откручивать pining 00:39:30 вкратце о подготовке pining 00:43:35 качаем приложения и устанавливаем. Общие вопросы 00:47:05 определяем что нужно подготовить для старта практики 00:56:50 pinning сертификата теория 00:57:50 Ошибки и проблемы. Стас, Я. 00:59:40 начинаем pinning, почему видим этот трафик 01:01:25 ждем всех 01:03:00 вспоминаем simplepinning 01:05:05 подменяем сертификат приложения используя Frida. Unpinning.js 01:13:35 еще раз кратко, что сделали 01:15:05 вопросы? 01:19:55 пару замечаний по скрипту 01:22:40 что делать тем, кто уже закончил. 01:27:30 пиниг он разный! (разделить?) 01:31:50 отключаем проверку сертификата. как будем делать 01:35:05 выполняем и пояснение про обфускацию и анонимные классы. 01:40:40 выполняем скрипт во Frid'е 01:41:20 не отработал. траблшутим. enumirateClasses 01:47:30 почему есть дырки и почему бывают отличия 01:49:15 ждем результатов 01:50:15 еще раз повторяем для тупых 01:52:30 скрипты для фриды codeshare.frida.re 01:55:30 немного про overload 01:57:57 еще не много скриптов, Игорь обещал скинуть ссылки 01:59:20 перерыв 02:15:30 проект objection для frida 02:21:30 перехватываем проверки на root 02:24:35 разбираем приложение с обфускацией (детализировать) 02:51:30 02:54:30 MobSF пытаемся запустить 03:02:20 запустили MobSF 03:05:00 немного о разрешениях в андройде 03:10:00 продолжаем смотреть MobSF 03:12:30 что можно взять в отчет 03:12:55 домашка по модулю 03:15:10 OWASP и дргие полезные документы для развития 03:21:40 вопросы 03:23:15 снова про домашку и отчет. 03:24:35 java и сериализация (ссылка на блог) 03:28:40 специализация пентеста по мобилкам 03:29:33 про тонкие клиенты и все остальное.