14 Mayıs 2013

Android mobil uygulama güvenlik testleri - I

Posted by: Fırat Celal Erdik 14 Mayıs 2013
Android mobil uygulamlar bilindiği üzere bir çoğu arka tarafta http ile çalışır. Bu yüzden mobil uygulama testlerinde burp zap gibi web proxy araçları ile kendi pc-notebook sistemimiz ile araya girersek gelen giden trafik üzerinde istenildiği gibi manipulasyon işlemine tabi tutulur.

Kendi pc mizi le mobil cihaz ile sunucu tarafının arasına girmek için aşağıdaki adımlar uygulanabilir.
Öncelikle mobil android cihazimiz ve notebook'umuz aynı kablosuz networkte olmalıdır. Aynı ağdan IP almalıdırlar.

Kendi pc mize zap veya burp benzeri bir proxy kurulabiliriz. Biz ZAP kuracağız.

Zap üzerinden proxy ayarlarını aşağıdaki gibi yapıyoruz. 3.3.3.12:8080


































Zap ile araya gireceğimizden dolayı zap tarafından gönderilen sertfikanın android cihazımızda güvenilebilmesi için trust sertfikalar arasına almalıyız. Bunun için ZAP üzerinden aşağıdaki gibi sertfika export edilebilir.(.cer uzantılı olacak şekilde.)


































Bu .cer uzantılı sertfikayı android cihazımıza indirip sd card içerisine kopyalamamız gerekmektedir. Sd carda kopyalamakla komut satırından boğuşmamak için için 'Send To SD Card' uygulaması kullanılabilir.


Daha sonra android cihazımız üzerinde aşağıdaki yol takip edilerek owasp zap tarafından üretilen dinamik ssl sertfikamızın android cihazımız tarafından güvenilir sertfikalar arasına almak  gerekir.

Uygulamalar/Ayarlar/Kişisel/Güvenlik/Kimlik Bilgisi Depolama/Cihaz Belleğinden Yükle yolu takip edildiğinde sdcard daki sertfika dosyaları aranır ve cihazımız tarafından güvenilen sertfikalar arasına eklenir.


Bundan sonra yapılması gerken kablosuz ağ bağlantısı için proxy ayarı girilmesi gerekir. Bunun için
Bundan sonra android cihazımızda wi-fi üzerinde aşağıdaki gibi proxy Uygulamalar/Ayarlar/Wi-fi/kablosuz ağ seçilir burada mevcut ayarları unut denilip tekrar kurulurken ileri düzey seçeneklerinden proxy ayarları girilir.


Owasp zap için belirlediğimiz 3.3.3.12:8080 olarak belirlemiştik bu şekilde proxy ayarları girilir. Bundan sonra android cihazımızın http/https trafiği bu IP ve porta gidecektir ve buradada bizim notebookumuz üzerinde ZAP proxy olarak çalışmaktadır. Bu şekilde trafiği üzerimizden geçirip bundan sonra normal web uygulaması tarar gibi taramaları gerçekleştirebiliriz.

Güvenlik testi uygulamamız için örnek olarak dropbox android uygulaması kullanılmıştır. İlgili android uygulamasını açıp login olalım ve oluşan http trafiğini zap üzerinden geçtiğini görelim ve bundan sonra taramalar web uygulama testlerine benzer devam ettirilebilir.


Login formundan girilen kullanıcı adı ve parola bilgisi aşağıda görüldüğü gibi araya girdiğimiz için artık bizim üzerimizden hedefe gidecektir.


Yakalanan http post datası active scan node denilerek güvenlik açıklıkları için taranabilir.





0 yorum:

Yorum Gönder

Her türlü eleştiri,yorum,ekleme ve düzeltmeye yönelik fikirlerinizi paylaşabilirsiniz.Hakaret içeren yorumlar filtrelenmektedir.

Makalelerin kötüye kullanım kullanıcının sorumluluğundadır. | networkpentest.net. Blogger tarafından desteklenmektedir.