Мне наконец-то удалось плотно поработать с реверсом Android-п | Mobile AppSec World
Мне наконец-то удалось плотно поработать с реверсом Android-приложений. Если раньше хватало Burp'а для анализа трафика, чтобы посмотреть простенькие запросы к API (для OSINT'а, например), а дальше заглядывать было лень, то в этот раз сама жизнь заставила и пришлось немного углубиться в тему.
В основном, я использовал Frid'у (просто незаменимый и очень-очень удобный фреймворк) и некоторые тулзы для сборки/декомпиляции/подписи/просмотра исходного кода, о которых, возможно, напишу в следующих постах.
Для тех, кто хотел вкатиться, вот все ресурсы, которые были мною использованы для обучения, думаю, будет полезно.
Вводные статьи по Java:
https://docs.oracle.com/javase/tutorial/
https://beginnersbook.com/java-tutorial-for-beginners-with-examples/
https://www.tutorialspoint.com/java/java_tutorial.pdf
Шпаргалка по Smali на русском:
*выше на канале*
Цикл видосов по Android Reverse Engineering:
Канал "Android AppSec" на Youtube:
https://www.youtube.com/channel/UC5bY16WSEa_ttTPqj8aTeIw/videos
Подробнейшая инструкция по настройке рабочего окружения:
https://blog.cobalt.io/getting-started-with-android-application-security-6f20b76d795b
Документация Frida + Codeshare и сниппеты:
https://frida.re/docs/javascript-api/
https://codeshare.frida.re/
https://github.com/iddoeldor/frida-snippets
Бложики со статьями, наполненные одами о Frida:
https://grepharder.github.io/blog/
https://neo-geo2.gitbook.io/adventures-on-security/
https://joshspicer.com/android-frida-1
https://11x256.github.io/
(на русском: https://forum.reverse4you.org/t/android-frida/1128)
Статья на Zennolab о Frida:
https://zennolab.com/discussion/threads/android-na-post-get-s-pomoschju-frida-server-burpsuite-i-bonus.79264/
Статья на Xakep о Frida:
https://xakep.ru/2018/03/19/android-frida/
Самые полезные и полные гайды с большим количеством примеров (Tiktok и Frida):
https://www.fatalerrors.org/a/code-and-example.html
https://www.fatalerrors.org/a/0d901j8.html
Райтапы ØxOPOSɆC, связанные с криптографией:
https://inesmartins.github.io/oposec-don-joe/
https://inesmartins.github.io/oposec-secrets/
https://inesmartins.github.io/htb-crypto-challenge-call/
https://inesmartins.github.io/htb-crypto-challenge/
https://inesmartins.github.io/oxopos-c-summer-challenge-2020-web-challenges-write-up/
https://inesmartins.github.io/0xoposec/
Отдельно выделю их же цикл статей "Undeground Leaks":
https://inesmartins.github.io/oposec-underground-leaks/
https://inesmartins.github.io/oposec-underground-leaks-part-ii/
https://inesmartins.github.io/opoleaks-underground-leaks-part-iii/
Если есть что добавить, кидайте в обратную связь, - запилю отдельный пост.
