Uygulama Veri Deposunda Saklanan Dosyaların Analizi – 1

Bir önceki yazıda GoatDroid kurulumunu ve yapılandırma ayarlarını tamamlamıştık. Şimdi teste başlayalım. Öncelikle FourGoats uygulamasının depolama yöntemini inceleyelim.

Güvensiz Veri Depolama

Android uygulama geliştiriciler, uygulama verilerini saklamak için bazı depolama yöntemleri kullanırlar.

  • Shared Preferences

Geliştiriciler Shared Preferences klasörü altında uygulamanın ayarlarını veya verileri tutulabilmektedirler. Veriler genellikle XML formatında dosya içerisinde tutulmaktadır. Bu güvensiz bir  veri  depolama yöntemi olduğu için saldırganların ilk bakacağı yerlerden birisidir. Continue reading

681 total views, no views today

adb

Mobil Cihazlarda Sızma Testi – Adb Shell

ADB Shell Nedir?

ADB (Android Debug Bridge), sizin emülatör veya Android cihazınız ile aranızda bir köprü görevi görerek iletişim kurmanızı sağlayan komut satırı aracıdır. Aslında komut sistemini yada terminali kullanan bir komut setidir.

Sık Kullanılan Adb Shell Komutları :

Daha önce kurulumunu gerçekleştirdiğimiz santoku sanal makinemizin terminali üzerinde adb shell komutlarını çalıştırabiliriz. Bunun için android cihazımız makinemize USB ile bağlı olmalı ve cihazda geliştirici ayarlarından USB Debugging aktif edilmeli. Ayrıca Aygıtlar -> USB Aygıtları bölümünden cihazımızı seçiyoruz.
Continue reading

1,619 total views, 6 views today

b

Mobil Cihazlarda Sızma Testi – Burp Suite

Mobil uygulama güvenlik testlerinde en önemli konulardan birisi, uygulamanın sunucularla kurduğu bağlantılarda araya girme konusudur. Araya girmek için Proxy aracı olarak Burp Suite Free uygulamasını kullanabiliriz. Sanal cihazımızdaki trafiği santoku sanal makinemizdeki Burp Suite’in çalıştığı porttan geçirebiliriz.

Mobil uygulama bağlantılarını host makine üzerinden geçirmek ve yakalamak için sanal cihazımızda Settings > Wi-Fi bölümüne girip WiredSSID üzerine basılı tuttuğumuz zaman çıkan seçeneklerden ‘Modify network’ tıklayalım ve Proxy ayarlarını değiştirelim. Burada IP olarak santoku sanal makinesinin IP adresini gireceğiz. Port olarak tercihe bağlı olmakla beraber Burp’un ön tanımlı portu olan 8080 yazabiliriz. Continue reading

790 total views, no views today

Mobil Sızma Testi-1

Bu yazımda mobil cihazlarda sızma testi için gerekli kurulumların gerçekleştirilmesinden bahsedeceğim. Bunun için öncelikle Genymotion Emülatör ve Virtual Box kurulumunu gerçekleştirmemiz gerekecek.
Android bir cihazımız yoksa Eclipse ya da diğer IDEler ile geliştirdiğimiz uygulamaları sanal cihazlar (virtual device) oluşturarak Genymotion ile test edebiliyoruz. Eclipse emülatöründen çok daha hızlı çalışmaktadır. Ek olarak Genymotion, VirtualBox ile birlikte çalışmaktadır.

Öncelikle http://www.genymotion.com/ adresine girip Sign Up bölümünden bir üyelik açalım. Üyelik açmadan indirilmeyecektir ve kurduğumuzda üyelik ile ilişkilendirmemiz gerekecektir. Kayıt olduktan sonra login olarak free download kısmını seçip indirelim.
Continue reading

854 total views, no views today