MobileApp Pentest Cheatsheet

Шпаргалка мобильного приложения Pentest была создана для предоставления краткой коллекции информации о высокой стоимости по конкретным темам тестирования проникновения мобильных приложений и контрольном списке, который сопоставлен OWASP Mobile Risk Top 10 Top 10 для проведения Pentest.

• Распределения тестирования безопасности мобильных приложений
• Все в одном мобильную структуру безопасности
• Андоид приложения тестирование проникновения
  • Обратный инженер и статический анализ
  • Динамический анализ времени выполнения
  • Сетевой анализ и тестирование на стороне сервера
  • Обход обнаружения корней и прикрепления SSL
  • Библиотеки безопасности
• тестирование проникновения приложений iOS
  • Access файловая система на Idevice
  • Обратный инженер и статический анализ
  • Динамический анализ времени выполнения
  • Сетевой анализ и тестирование на стороне сервера
  • Обход обнаружения корней и прикрепления SSL
  • Библиотеки безопасности
• Лаборатория тестирования мобильного проникновения
• Вклад
• Лицензия

• Appie - портативный программный пакет для Android Pentesting и потрясающая альтернатива существующим виртуальным машинам.
• Android Tamer - Android Tamer - это виртуальная / живая платформа для специалистов по безопасности Android.
• Androl4b - виртуальная машина для оценки приложений Android, обратной инженерной и вредоносной программы.
• Проект Vezir - среда мобильного приложения и анализ вредоносных программ.
• Mobexler - Mobexler - это индивидуальная виртуальная машина, предназначенная для проникновения в тестирование приложений Android & iOS.

• Mobile Security Framework-MOBSF-Mobile Security Framework-это интеллектуальная, все в одном мобильном приложении с открытым исходным кодом (Android/iOS) автоматизированная рамка тестирования печек, способную выполнять статический и динамический анализ.
  • python manage.py runserver 127.0.0.1:1337
• Игла - иглы - это модульная структура с открытым исходным кодом для оптимизации процесса проведения оценок безопасности приложений для iOS, включая бинарный анализ, анализ статического кода, манипуляции с средней среды с использованием циктически циктически и Frida Clocking, и так далее.
• Возражение - Возражение - это инструментарий для мобильных разведки, работающий на Frida. Он был построен с целью помочь оценить мобильные приложения и их осанки безопасности без необходимости в джейлбранслом или рутированном мобильном устройстве.
• RMS-Runtime-Mobile-Security-мобильная безопасность времени выполнения (RMS), работающая от FRIDA, является мощным веб-интерфейсом, который помогает вам манипулировать приложениями Android и iOS во время выполнения.

• APKTOOL - инструмент для обратной инженерии 3 -я сторона, закрытые, двоичные приложения для Android. Он может декодировать ресурсы почти оригинальной форме и восстановить их после внесения некоторых изменений.
  • Разборка Android APK -файл
    • apktool d <apk file>
  • Восстановление декодированных ресурсов обратно в бинарный APK/JAR с подписанием сертификата
    • apktool b <modified folder>
    • keytool -genkey -v -keystore keys/test.keystore -alias Test -keyalg RSA -keysize 1024 -sigalg SHA1withRSA -validity 10000
    • jarsigner -keystore keys/test.keystore dist/test.apk -sigalg SHA1withRSA -digestalg SHA1 Test
• Bytecode Viewer - Bytecode Viewer - это усовершенствованный легкий просмотрщик Java Bytecode, он полностью написан на Java, и он открыт.
• JADX - Dex to Java Decropiler: командная строка и инструменты GUI для производства исходного кода Java из файлов Android DEX и APK.
• APK Studio-IDE на базе QT с открытым исходным кодом, для пакетов приложений для Android с обратной инженерией.
• OAT2DEX - инструмент для преобразования файлов .OAT в файлы .dex.
  • Деоптимизируйте классы загрузки (вывод будет в папках «Odex» и «Dex»)
    • java -jar oat2dex.jar boot <boot.oat file>
  • Deoptimize Application
    • java -jar oat2dex.jar <app.odex> <boot-class-folder output from above>
  • Получите Odex от овса
    • java -jar oat2dex.jar odex <oat file>
  • Получить odex smali (с оптимизированным OpCode) от Oat/Odex
    • java -jar oat2dex.jar smali <oat/odex file>
• Spotbugs - Spotbugs - преемник Findbugs. Инструмент для статического анализа для поиска ошибок в коде Java.
• QARK - Этот инструмент предназначен для поиска нескольких уязвимостей Android, связанных с безопасностью, либо в исходном коде, либо в упакованных APK.
• Super - Super - это приложение командной строки, которое можно использовать в Windows, MacOS X и Linux, которое анализирует файлы .APK в поиске уязвимостей. Это делает это путем декомпрессии APK и применения ряда правил для обнаружения этих уязвимостей.
• Androbugs - Androbugs Framework - это эффективный сканер уязвимости Android, который помогает разработчикам или хакерам найти потенциальную уязвимость безопасности в приложениях Android. Не нужно устанавливать в Windows.
• Упростить-инструмент для пакета Android de-obfuscating в класс.
  • simplify.jar -i "input smali files or folder" -o <output dex file>
• Classnamedeobfuscator - простой скрипт, чтобы разобраться через файлы .smali, созданные APKTool, и извлеките линии.
• Android Backup Extractor - утилита для извлечения и повторения резервного копирования Android, созданного с помощью резервного копирования ADB (ICS+). В значительной степени основан на Backupmanagerservice.java из AOSP. Кончик !! Команда "Backup ADB" также может использоваться для извлечения пакета приложений со следующей командой:
  • adb backup <package name>
  • dd if=backup.ab bs=1 skip=24 | python -c "import zlib,sys;sys.stdout.write(zlib.decompress(sys.stdin.read()))" > backup.tar
• GDA (Gjoy Dex Analysizer) - GDA, новый декомпиланчик байт -кода Dalvik, реализован в C ++, который имеет преимущества более быстрого анализа и более низкого потребления памяти и дисков и более сильную способность разместить APK, DEX, ODEX, овсяные файлы (поддерживает JAR, класс и файлы AAR с 3.79)

• Cydia Substrate - Cydia substrate для Android позволяет разработчикам вносить изменения в существующее программное обеспечение с расширениями субстрата, которые вводят в память целевого процесса.
• Xposed Framework - xposed Framework позволяет вам изменять системный или приложенный аспект и поведение во время выполнения, без изменения любого пакета приложений Android (APK) или повторного блокировки.
• PID CAT - обновление отличного цветового скрипта Джеффа Шарки, в котором отображаются только записи журнала для процессов из конкретного пакета приложений.
• Inspeckage - Inspeckage - это инструмент, разработанный для предложения динамического анализа приложений Android. Применяя крючки к функциям API API Android, Inspeckage поможет вам понять, что делает приложение для Android во время выполнения.
• FRIDA - Toolkit работает с использованием модели клиента -сервера и позволяет вам внедрять процессы работы не только на Android, но и на iOS, Windows и Mac.
• Diff -Gui - веб -структура для запуска инструментальных инструментов с простыми модулями, зацепив нативные, вводите JavaScript с использованием FRIDA.
• Fridump - Fridump использует Frida Framework для сброса доступных адресов памяти с любой поддерживаемой платформы. Его можно использовать в системе Windows, Linux или Mac OS X, чтобы сбрасывать память приложения для iOS, Android или Windows.
• House - Инструментарий анализа мобильных приложений времени выполнения с веб -графическим интерфейсом, оснащенным FRIDA, предназначен для оказания помощи в оценке мобильных приложений путем реализации динамического подключения и перехвата и перехвата и предназначенного для того, чтобы сделать написание сценариев FRIDA максимально простым.
• AndBug - AndBug - это отладчик, нацеленный на виртуальную машину Dalvik на платформе Android, предназначенную для реверса -инженеров и разработчиков.
  • Определение процесса применения с использованием оболочки ADB
    • adb shell ps | grep -i "App keyword"
  • Доступ к приложению с использованием andbug для определения загруженных классов
    • andbug shell -p <process number>
  • Отслеживание конкретного класса
    • ct <package name>
  • Отладка с JDB
    • adb forward tcp:<port> jdwp:<port>
    • jdb -attach localhost:<port>
• Cydia substrate: Introspy -Android - инструмент Blackbox, чтобы помочь понять, что делает приложение для Android во время выполнения, и помочь в выявлении потенциальных проблем безопасности.
• DROZER - DROZER позволяет вам искать уязвимости безопасности в приложениях и устройствах, взяв на себя роль приложения и взаимодействуя с VM Dalvik, конечными точками IPC других приложений и базовой ОС.
  • Запуск сессии
    • adb forward tcp:31415 tcp:31415
    • drozer console connect
  • Получение информации о пакете
    • run app.package.list -f <app name>
    • run app.package.info -a <package name>
  • Определение поверхности атаки
    • run app.package.attacksurface <package name>
  • Эксплуатируя деятельность
    • run app.activity.info -a <package name> -u
    • run app.activity.start --component <package name> <component name>
  • Использование поставщика контента
    • run app.provider.info -a <package name>
    • run scanner.provider.finduris -a <package name>
    • run app.provider.query <uri>
    • run app.provider.update <uri> --selection <conditions> <selection arg> <column> <data>
    • run scanner.provider.sqltables -a <package name>
    • run scanner.provider.injection -a <package name>
    • run scanner.provider.traversal -a <package name>
  • Используя вещательные приемники
    • run app.broadcast.info -a <package name>
    • run app.broadcast.send --component <package name> <component name> --extra <type> <key> <value>
    • run app.broadcast.sniff --action <action>
  • Эксплуатация услуг
    • run app.service.info -a <package name>
    • run app.service.start --action <action> --component <package name> <component name>
    • run app.service.send <package name> <component name> --msg <what> <arg1> <arg2> --extra <type> <key> <value> --bundle-as-obj

• TCPDUMP - Утилита захвата пакетов командной строки.
• Wireshark - анализатор пакета с открытым исходным кодом.
  • Живой пакет захватывает в режиме реального времени
    • adb shell "tcpdump -s 0 -w - | nc -l -p 4444"
    • adb forward tcp:4444 tcp:4444
    • nc localhost 4444 | sudo wireshark -k -S -i –
• Мэллори - человек в среднем инструменте (MITM), который используется для мониторинга и манипулирования трафиком на мобильных устройствах и приложениях.
• Burp Suite - Burp Suite - это интегрированная платформа для проведения проверки безопасности приложений.
  • Установка доверенного CA на уровне ОС Android (корневое устройство/эмулятор) для Android N+ в качестве следующего:
    • openssl x509 -inform PEM -subject_hash -in BurpCA.pem | head -1
    • cat BurpCA.pem > 9a5ba580.0
    • openssl x509 -inform PEM -text -in BurpCA.pem -out /dev/null >> 9a5ba580.0
    • adb root
    • abd remount
    • adb push 9a5ba580.0 /system/etc/security/cacerts/
    • adb shell “chmod 644 /system/etc/security/cacerts/9a5ba580.0”
    • adb shell “reboot”
    • Проверьте настройки> Безопасность> Доверенные учетные данные> Система, чтобы подтвердить, что ваш недавно добавленный CA перечислен.
• Burp Suite Mobile Assistant - Burp Suite Mobile Assistant - это инструмент для облегчения тестирования приложений для iOS с Burp Suite; Он может изменить общеобразовательные настройки прокси на устройства iOS, чтобы трафик HTTP (S) мог быть легко перенаправлен на бегущий экземпляр Burp, он мог попытаться обойти SSL-сертификат в выбранных приложениях, позволяя набору Burp, чтобы нарушить свои https соединения и перехватить, осмотреть и модифицировать весь трафик.
• OWASP ZAP - OWASP ZED ATTACK PROXY Project - это сканер безопасности веб -приложений с открытым исходным кодом. Он предназначен для использования как новыми для безопасности приложений, так и профессиональных тестеров проникновения.
• Proxydroid - Global Proxy App для Android System.
• MITMProxy - это интерактивный, SSL/TLS -взаимосвязанный прокси с интерфейсом консоли для HTTP/1, HTTP/2 и WebSockets.

• MAGISK - Suites Magisk обеспечивают корневой доступ к вашему устройству, способность изменять разделы только для чтения, установив модули и скрыть MAGISK от проверки обнаружения корней/целостности системы.
• Xposed Module: просто поверьте мне - модуль xposed, чтобы обойти сертификат SSL.
• Xposed Module: Sslunpinning - Android Xposed Module для обхода проверки сертификата SSL (закрепление сертификата).
• Cydia Substrate Module: Android SSL Trust Killer - инструмент Blackbox для обхода SSL -сертификата для большинства приложений, работающих на устройстве.
• Cydia Substrate Module: RootCoak Plus - Проверка корня патча для общеизвестных показаний корня.
• Android-SSL-Bypass-инструмент отладки Android, который можно использовать для обхода SSL, даже если реализуется закрепление сертификатов, а также другие задачи отладки. Инструмент работает как интерактивная консоль.
• APK -MITM - приложение CLI, которое автоматически готовит Android APK -файлы для проверки HTTPS
• Frida Codeshare - Проект Frida Codeshare состоит из разработчиков со всего мира, работающих вместе с одной целью - подтолкнуть Frida к его пределам новыми и инновационными способами.
  • Обход обнаружения корней
    • frida --codeshare dzonerzy/fridantiroot -f YOUR_BINARY
  • Обход SSL прикрепления
    • frida --codeshare pcipolloni/universal-android-ssl-pinning-bypass-with-frida -f YOUR_BINARY

• PublicKey Pinning - закрепление Android может быть выполнено с помощью пользовательского X509Trustmanager. X509TrustManager должен выполнить обычные проверки X509 в дополнение к выполнению конфигурации закрепления.
• Android Pinning - автономный библиотечный проект для закрепления сертификата на Android.
• Java AES Crypto - простой класс Android для шифрования и расшифровки струн, стремясь избежать классических ошибок, от которых страдают большинство таких классов.
• Proguard - Proguard - это бесплатный файл Java Class, оптимизатор, сфускатор и Preverifier. Он обнаруживает и удаляет неиспользованные классы, поля, методы и атрибуты.
• SQL Cipher - SQLCIPHER - это расширение с открытым исходным кодом для SQLite, который обеспечивает прозрачное 256 -битное шифрование AES файлов баз данных.
• Безопасные предпочтения - Android Shared Preference Orfer, чем шифровать ключи и значения общих предпочтений.
• Доверенные намерения - Библиотека для гибких доверенных взаимодействий между приложениями Android.
• Rootbeer - вкусная библиотека корневой проверки и приложение примера.
• Средняя шифрование-Капилляр-это библиотека для упрощения отправки сквозных зашифрованных Push-сообщений с серверов приложений на основе Java на клиенты Android.

• Filezilla - она ​​поддерживает FTP, SFTP и FTPS (FTP над SSL/TLS).
• Cyberduck - Libre FTP, SFTP, WebDav, S3, Brower Swift Swift для Mac и Windows.
• iTunnel - Используйте для пересылки SSH через USB.
• IProxy - Позвольте вам подключить свой ноутбук к iPhone, чтобы просматривать Интернет.
• ifunbox - инструмент управления файлами и приложениями для iPhone, iPad и iPod Touch.

• OTOOL - команда OTOL отображает указанные части объектных файлов или библиотек.
• Сцепление - расшифровка приложения и сбросить указанный Bundleid в двоичный или. IPA -файл.
• Dimpledecrypted - Dumps Decrypted Mach -O -файлы из зашифрованных приложений iPhone от памяти до диска. Этот инструмент необходим для того, чтобы исследователи безопасности могли смотреть под капотом шифрования.
  • iPod:~ root# DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Applications/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/Scan.app/Scan
• Class-Dump-утилита командной строки для изучения информации о времени выполнения Objective-C, хранящейся в файлах Mach-O.
• DSDUMP - улучшенный NM + OBJC/Swift Class -Dump.
• Слабый ClassDump - сценарий Cycript, который генерирует файл заголовка для класса, передаваемого в функцию. Наиболее полезно, когда вы не можете зашифровать ClassDump или Dilldecrypted, когда бинарны зашифрованы и т. Д.
  • iPod:~ root# cycript -p Skype weak_classdump.cy; cycript -p Skype
  • #cy weak_classdump_bundle([NSBundle mainBundle],"/tmp/Skype")
• FRIDPA - Автоматизированный сценарий обертки для исправления приложений iOS (файлы IPA) и работы на не приводящемся устройстве.
• FRIDA-IOIS-DUMP-Вытащите расшифрованное IPA с джейлбрейского устройства.
• BAGBAK - Еще одна Frida, базирующаяся в iOS, смагнированное, поддерживает расшифровки приложений и не требуется SSH.
• Bfinject - Bfinject загружает произвольные Dylibs в запуск приложений App Store. Он имеет встроенную поддержку для расшифровки приложений App Store и поставляется в комплекте с ISPY и Cycript.
  • Простой тест
    • bash bfinject -P Reddit -L test
  • Decrypt App Store Apps
    • bash bfinject -P Reddit -L decrypt
  • Циктри
    • bash bfinject -P Reddit -L cycript
• HOPPERAPP - Hopper - это инструмент для обратного инженера для OS X и Linux, который позволяет разобрать, декомпилировать и отлаживать ваши 32/64BITS Intel Mac, Linux, Windows и IOS Executive.
• Hopperscripts - Hopperscripts можно использовать для внесения имени функции Swift в Hopperapp.
• RADARE2 - RADARE2 - это UNIX -подобная обратная инженерная структура и инструменты командной линии.
• XResign - xResign позволяет вам подписать или уйти в отставку незашифрованных IPA -файлов с сертификатом, для которого вы держите соответствующий закрытый ключ. Проверено на разработчик, специальное распределение и предприятие.

• Cycript - Cycript позволяет разработчикам исследовать и изменять запущенные приложения на iOS или Mac OS X, используя гибрид Objective -C ++ и JavaScript Syntax через интерактивную консоль, которая включает выделение синтаксиса и завершение TAB.
  • Показать в настоящее время видимый контроллер просмотра
    • cy# UIApp.keyWindow.rootViewController.visibleViewController
  • Показать контроллер просмотра в верхней части навигационного стека
    • cy# UIApp.keyWindow.rootViewController.topViewController
  • Получите множество существующих объектов определенного класса
    • cy# choose(UIViewController)
  • Дамп пользовательского интерфейса, отрезает множество описаний uiviews
    • cy# [[UIApp keyWindow] _autolayoutTrace].toString()
  • Пропустите Uiviews и Nextrestders, чтобы получить напрямую ViewControllers
    • cy# [[[UIApp keyWindow] rootViewController] _printHierarchy].toString()
  • Список метода во время выполнения
    • cy# classname.messages или cy# function printMethods(className, isa) { var count = new new Type("I"); var classObj = (isa != undefined) ? objc_getClass(className)->isa : objc_getClass(className); var methods = class_copyMethodList(classObj, count); var methodsArray = []; for(var i = 0; i < *count; i++) { var method = methods[i]; methodsArray.push({selector:method_getName(method), implementation:method_getImplementation(method)}); } free(methods); return methodsArray; }
  • • cy# printMethods("<classname>")
  • Отпечатает все переменные экземпляра
    • cy# a=#0x15d0db80
    • cy# *a или
    • cy# function tryPrintIvars(a){ var x={}; for(i in *a){ try{ x[i] = (*a)[i]; } catch(e){} } return x; }
    • cy# a=#0x15d0db80
    • cy# tryPrintIvars(a)
  • Манипулирование имуществом
    • cy# [a pinCode]
    • cy# [a setPinCode: @"1234"] или cy# a.setPinCode= @"1234"
  • Метод Swizzling, например, метод
    • cy# [a isValidPin]
    • cy# <classname>.prototype.isValidPin = function(){return 1;}
  • Метод смачивания для метода класса
    • cy# [Pin isValidPin]
    • cy# Pin.contructor.prototype.['isValidPin'] = function(){return 1;}
• inalyzer - Appsec Labs Inalyzer - это основа для манипулирования приложениями для iOS, подделка параметров и метода.
• Грейпфрут - прикладные инструменты времени выполнения для iOS, ранее маракуйя.
• Introspy -IOS - инструмент Blackbox, чтобы помочь понять, что делает приложение для iOS во время выполнения, и помогает в выявлении потенциальных проблем безопасности.
• Apple Configurator 2 - утилита, которая может использоваться для просмотра Live System Log On Idevice.
• KeyChainDumper - инструмент, чтобы проверить, какие элементы ключей доступны для злоумышленника после того, как устройство iOS будет заключено.
• BinaryCookieReader - инструмент для сброса всех файлов cookie из бинарного файла cookie.binaryCookies.

• Мэллори - человек в среднем инструменте (MITM), который используется для мониторинга и манипулирования трафиком на мобильных устройствах и приложениях.
• Burp Suite - Burp Suite - это интегрированная платформа для проведения проверки безопасности приложений.
• OWASP ZAP - OWASP ZED ATTACK PROXY Project - это сканер безопасности веб -приложений с открытым исходным кодом. Он предназначен для использования как новыми для безопасности приложений, так и профессиональных тестеров проникновения.
• Charles Proxy - HTTP Proxy / HTTP Monitor / Reverse Proxy, который позволяет разработчику просматривать все трафик HTTP и SSL / HTTPS между их машиной и Интернетом.

• SSL Kill Switch 2 - инструмент Blackbox для отключения проверки сертификата SSL - включая закрепление сертификата - в приложениях iOS и OS X.
• iOS Trustme - Отключить проверки траста сертификата на устройствах iOS.
• TSProtector - еще один инструмент для обхода обнаружения джейлбрейка.
• LecailProtect - Помимо обхода обнаружения джейлбрейка, это также позволяет вам легко подделать версию прошивки iOS.
• Shadow - Shadow - это настройка для обхода обнаружения джейлбрейка, которое побеждает основные методы обнаружения, используемые многими приложениями App Store.
• Frida Codeshare - Проект Frida Codeshare состоит из разработчиков со всего мира, работающих вместе с одной целью - подтолкнуть Frida к его пределам новыми и инновационными способами.
  • Обход SSL прикрепления
    • frida --codeshare lichao890427/ios-ssl-bypass -f YOUR_BINARY
    • frida --codeshare dki/ios10-ssl-bypass -f YOUR_BINARY

• PublicKey Pinning - Pinning IOS выполняется через NSURLConnectionDelegate. Делегат должен реализовать соединение: canauthenticateaagainstprotectionspace: и подключение: didReceiveauthenticationChallenge:. В связи с подключением: DidReceiveAuthenticationChallenge:, делегат должен вызвать Sectrustevaluate для выполнения обычных чеков X509.
• Swiftshield - Swiftshield - это инструмент, который генерирует необратимые, зашифрованные имена для объектов вашего проекта iOS (включая ваши стручки и раскадровки), чтобы защитить ваше приложение от инструментов, которые реверс -инженер IOS, такие как Class -Dump и Cycript.
• IossecuritySuite-Security Suite iOS-это расширенная и простая в использовании платформу безопасность и борьбу с антикуализацией, написанная в Pure Swift! Если вы разрабатываете для iOS и хотите защитить свое приложение в соответствии с стандартом OWASP MASVS, глава V8, то эта библиотека может сэкономить вам много времени.
• OWASP IMAS - IMAS - это совместный исследовательский проект от корпорации MITER Corporation, ориентированной на контроль безопасности с открытым исходным кодом.

• Watf Bank-Приложение для мобильного банкинга с мобильным банковским обслуживанием (Watf-Bank), написанная в Java, Swift 4, Objective-C и Python (Frame Framework) в качестве сервера, предназначенного для моделирования «реальных» мобильных банков с поддержкой веб-служб, которое содержит более 30 уязвимостей на основе OWASP Mobile 10 Risks.
• InsecureBankV2 - Уязвимое приложение для Android WTHIS называется «InsecureBankv2» и создано для энтузиастов и разработчиков безопасности, чтобы изучить небезопасность Android, тестируя это уязвимое приложение. Его компонент сервера записан на Python.
• DVIA -V2 - чертовски уязвимое приложение для iOS (DVIA) - это приложение для iOS, которое чертовски уязвимо. Его главная цель - предоставить платформу энтузиастам/профессионалам или студентам платформы для проверки своих навыков тестирования проникновения в iOS в юридической среде.
• Diva Android - Diva (чертовски небезопасное и уязвимое приложение) является приложением, преднамеренно разработанным, чтобы быть небезопасным. Цель приложения - обучать разработчиков/специалистов по безопасности/безопасности, недостатки, которые обычно присутствуют в приложениях, причитающихся плохой или небезопасной практике кодирования.
• DVHMA - чертовски уязвимое гибридное мобильное приложение (DVHMA) - это гибридное мобильное приложение (для Android), которое намеренно содержит уязвимости. Его цель состоит в том, чтобы позволить специалистам по безопасности на законных основаниях тестировать свои инструменты и методы, помогают разработчикам лучше понять общие ловушки при надежности в разработке гибридных мобильных приложений.
• MSTG Hacking Playground - это коллекция мобильных приложений iOS и Android, которые намеренно создают небезопасность. Эти приложения используются в качестве примеров для демонстрации различных уязвимостей, объясняемых в Руководстве по тестированию мобильной безопасности OWASP.
• Непрерывные мобильные приложения - нерешенные приложения для Android и iOS, коллекция мобильных проблем обратного инженерного инженера. Эти проблемы используются в качестве примеров в Руководстве по тестированию мобильной безопасности.
• OWASP Igoat - GOAT - это инструмент обучения для разработчиков iOS (iPhone, iPad и т. Д.) И мобильных приложений. Он был вдохновлен проектом Webgoat и имеет аналогичный концептуальный поток.

Ваш вклад и предложения приветствуются.

Эта работа лицензирована по международной лицензии Creative Commons Attribution 4.0