allsafe

Allsafeは、さまざまな脆弱性を含む意図的に脆弱なアプリケーションです。他の脆弱なAndroidアプリとは異なり、これはCTFのようではなく、最新のライブラリやテクノロジーを使用する実際のアプリケーションのようになります。さらに、私はあなたが探求するためのいくつかのフリーダに基づいた課題を含めました。楽しく幸せなハッキングを！

他のリポジトリにFRIDAスクリプト（テンプレートのように）があります。 FRIDA関連のタスクには非常に便利かもしれません。 https：//github.com/t0thkr1s/fridaをチェックしてください

簡単な情報開示の脆弱性。 logcatコマンドラインツールを使用して、機密情報を発見します。

• logcatツール
• Coinbase Oauth Responseコードリーク

いくつかの資格情報はコードに残されています。あなたのタスクは、アプリをリバースエンジニアリングし、機密情報を見つけることです。

• Zomatoハードコード資格情報
• 8x8ハードコーディングされた資格情報
• リバーブハードコーディングAPIシークレット

これは純粋にフリーダの練習のためです。コードにデバイスが根付いていないと信じさせてください！

サードパーティのアプリでモジュールを安全にロードするのは簡単ではありません。 POCアプリケーションを作成し、脆弱性を活用してください！

• サードパーティのパッケージコンテキストを介した任意のコード実行

別のフリーダベースのタスク。ここには本当の脆弱性はありません。安全なフラグをバイパスしてください！

• Android flag_secureリファレンス

証明書のピン留めは、OKHTTPライブラリを使用して実装されます。バープスイートでトラフィックを表示するには、バイパスする必要があります。

• 証明書と公開キーピン留め
• コインベースの脆弱性

アプリケーションには脆弱なブロードキャスト退場物があります。正しいデータでそれをトリガーすると、あなたは完了です！

• Androidは概要を放送します
• OK.RUブロードキャスト受信機の搾取
• Bitwarden脆弱なブロードキャストレシーバー

安全でないブロードキャストレシーバーと同様に、このタスクを完了するには適切なクエリパラメーターを提供する必要があります！

• Android Deep Linking
• 不安定な深いリンクをつかみます
• Periscope Deep Link CSRF

Webアプリケーションにある定期的なSQLインジェクション。ログインメカニズムをバイパスするためにコードを逆にする必要はありません。

• コンテンツプロバイダーでのSQLインジェクション

アプリケーションを逆コンパイルすることなく、このタスクを完了することもできます。アラートダイアログをポップしてファイルを読み取りましょう！

• OwnCloud WebView XSS

このタスクでは、SMALIコードを編集してアプリケーションの実行フローを変更する必要があります。最後に、APKを再構築して署名してください！

• Uber APK署名者

アプリケーションは、入力されたパスワードを検証するネイティブライブラリを使用します。ライブラリをリバースエンジニアリングしてパスワードを見つけ、Fridaを使用してネイティブメソッドをフックします。

• ギドラ
• カッター

バグに気づいた？提案がありますか？お気軽に問題を開くか、プルリクエストを作成してください！

このプロジェクトがあなたにとって価値があるか、何らかの形であなたを助けた場合は、次の暗号通貨を介して少量の寄付をすることを検討してください。プロジェクトにスターを与えることも多くの役割を果たします。ありがとう！

ビットコインアドレス⟹bc1qd44kvj6zatjgn27n45uxd3nprzt6rm9x9g2yc8

イーサリアムアドレス⟹0x1835A58E866A668C48EE63D32432C7FE28AF54B4

このツールはテストと学術目的のみであり、厳密な同意が与えられた場合にのみ使用できます。違法な目的で使用しないでください！適用されるすべてのローカル、州、連邦の法律に従うことは、エンドユーザーの責任です。開発者は責任を負い、このツールとソフトウェアによって引き起こされた誤用や損害について責任を負いません。

このプロジェクトはGPLV3ライセンスに基づいてライセンスされています - 詳細については、ライセンスファイルを参照してください