คลังความรู้สู่นักทดสอบเจาะระบบ
Free Knowledge-Sharing Initiative
ในคลิปนี้เราจะแนะนำวิธีการใช้ APKTOOL เพื่อ Decompiler และวิเคราะห์ไฟล์ APK ทำความเข้าใจกับโค้ดต่างๆ โดยใช้ Android Studio ที่เป็นรากฐานของแอปพลิเคชันต่างๆ และเรียนรู้วิธีการตรวจสอบความปลอดภัย ไม่ว่าคุณจะเป็นนักพัฒนามืออาชีพหรือผู้ที่มีความสนใจในการทำความเข้าใจการทำงานของแอป Android คลิปนี้จะช่วยให้คุณเข้าถึงเทคนิคและเครื่องมือที่จำเป็นในการพัฒนาและวิเคราะห์แอปของคุณเองได้ดียิ่งขึ้น!
Flutter เป็นเฟรมเวิร์กการพัฒนาแอพพลิเคชันที่ช่วยให้นักพัฒนาสร้างแอพพลิเคชันได้บนหลายแพลตฟอร์มจากฐานโค้ดเดียว การพัฒนาด้วย Flutter สร้างแอพพลิเคชันโดยใช้ภาษา Dart และมีข้อแตกต่างหลายประการเมื่อเทียบกับแอพพลิเคชันแบบดั้งเดิมที่พัฒนาโดยใช้ Java หรือ Kotlin (สำหรับ Android) และ Swift หรือ Objective-C (สำหรับ iOS) โปรแกรมที่ถูกสร้างโดย Flutter อาจไม่ใช้ “system CA store” ของแอนดรอยด์แต่ใช้รายการ CA ที่ถูกคอมไพล์ลงในแอพพลิเคชัน จึงเป็นสาเหตุให้ไม่สามารถดักจับข้อมูลได้โดยการการตั้ง proxy แบบปกติ
บทความนี้จะแนะนำขั้นตอนการเพิ่ม Debug Log ใน SMALI ตั้งแต่การค้นหาหน้าจอ การระบุ Method การแก้ไขไฟล์ SMALI จนถึงการทดสอบ Debug Log ที่ได้ ทั้งนี้เพื่อเป็นพื้นฐานว่าสามารถตรวจสอบและวิเคราะห์ปที่เกิดขึ้นภายในแอปได้ได้อย่างง่ายขึ้น บทความนี้ต่อจากบทความ Getting Started with SMALI for Penetration Testing ที่อธิบายถึงพื้นฐานและหลักการของการ Decompile และ SMALI
การทดสอบความปลอดภัยของแอปพลิเคชัน Android เป็นกระบวนการสำคัญที่ช่วยให้นักทดสอบความปลอดภัยค้นพบข้อบกพร่องและปัญหาเกี่ยวกับความปลอดภัยในแอปพลิเคชัน มีข้อผิดพลาดหรือช่องโหว่ที่อาจเปิดโอกาสให้ผู้ไม่หวังดีโจมตีแอปพลิเคชันหรือเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้ การทดสอบความปลอดภัยช่วยให้พัฒนาแอปพลิเคชันอย่างมั่นคงและปลอดภัยต่อผู้ใช้เป็นอย่างมาก
บทความนี้นำเสนอ Script ที่พัฒนาขึ้นเพื่อการติดตั้ง Burp Suite บน Android โดยใช้ LazyFrida ซึ่งมีความสามารถในการตรวจสอบการเชื่อมต่อผ่าน ADB, สถานะการ root ของอุปกรณ์, ดาวน์โหลดและติดตั้งใบรับรอง CA ของ Burp Suite บน Android และทำการรีบูตอุปกรณ์ผ่าน ADB ทั้งหมดนี้ทำให้การติดตั้ง Burp Suite บน Android เร็วขึ้นและสะดวกมากยิ่งขึ้น