Android漏洞分析twitter资料

Posted 2022-12-01 tangsilian

乌 云倒闭之后很少国内少有相关的漏洞分享。但是twitter上的同学依旧比较活跃：

https://twitter.com/search?q=%23bugbountytips%20%20android&src=typed_query

本地组件打开任意url的问题

twitter上开到一个讨论android组件

付费的key硬编码导致被盗用

https://blog.dixitaditya.com/bypassing-google-maps-api-key-restrictions/

各个年份的bug-bouty-writeup收集

https://pentester.land/list-of-bug-bounty-writeups.html

审计的checklist

https://mobexler.com/checklist.htm

FireBaseScanner漏洞扫描

https://github.com/shivsahni/FireBaseScanner
https://github.com/satishpatnayak/ScanAndroidXML
1.反编译解析APP，读取其中每行文件解析含有friebase的内容
2.post该firebase地址如果能访问即会打印。

if (sys.argv[1]"-p" or sys.argv[1]"–path"):
apkFilePath=sys.argv[2];
isNewInstallation()
isValidPath(apkFilePath)
reverseEngineerApplication(apkFileName)
findFirebaseProjectNames()
scanDarlingScan()

webview白名单绕过

https://hackerone.com/reports/431002

sechema简介：https://www.mbsd.jp/Whitepaper/IntentScheme.pdf

你可以下载1000款最流行的安卓应用分析WebViewClient.shouldOverrideUrlLoading在统计学上是如何使用的，找到开发人员最容易犯的错误并为所有流行和潜在的敏感方法和类重复这个过程。有时很难做到这一点，而且需要花费较长时间了解 Android Framework 的来源，因此，你可以创建两款 app，它们分别是“受害者”app和“攻击”app，并分别测试它们的不同配置情况。

Q：在测试安卓应用时，你通常查找的是哪类漏洞？
A：我其实寻找所有代表风险的漏洞类型。最流行的漏洞是在 WebViews 或 http 库（如 OKHttp、Retorfit）中因替换 URL 引发的令牌泄露；通过 WebViews 从所有站点窃取所有 cookie；窃取任意文件（通过向任意 URL 发送任意文件的 WebViews、内容提供商和活动，和将受保护文件复制到未受保护位置的活动）；覆写任意文件（如修改原生库时可能导致用户数据损坏或任意代码执行）；本地代码执行（当不存在或具有可绕过验证的应用试图通过不同应用的 ClassLoaders 编码时通常会发生这种情况，因为应用认为它们是插件；另外，安卓上常常出现 Apache CommonsCollections4 漏洞）；不受保护的意图以附加的敏感数据开始（活动以接收者开始）；不安全的数据存储（内部目录或公开目录中的全局可读标记）等。

Q：你如何确认从安卓 app 中提取的 api_keys 是敏感性质的？
A：很显然，你应该了解它们为什么会在那里，通过它们找到 library/service，查看文档并分析密钥是否应该被保密或者是否可以公开披露。超级流行的 api_keys 为数不多，常见的也就那么几个，因此把它们全部记住也不难。

其他参考：

https://github.com/blaCCkHatHacEEkr/PENTESTING-BIBLE/blob/master/2-part-100-article/android%20pentesting%20sheet%20.pdf

视频教程：
https://www.youtube.com/playlist?list=PLgnrksnL_Rn09gGTTLgi-FL7HxPOoDk3R

https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06c-Reverse-Engineering-and-Tampering.md