#android #sec
В общем. Я постоянно теряюсь, что проверять при анализе защищенности Android приложения. Постоянно боюсь что-то забыть. OWASP MSTG слишком большой, чтобы его листать на каждое приложение и вычитывать.
Решил запилить для себя чеклист.(Он пока сырой, буду активно дописывать по мере проверок мобилок)
Главный принцип в нем (Который я выработал для себя, вам он конечно же может быть не удобен) - это делать проверки похожих\рядом лежащих вещей максимально близко друг к другу.
Т.е. я обычно сначала открывают AndroidManifest и начинаю смотреть че там есть. Значит тут сразу смотрим бэкап дебаг, и тд. Потом секреты, потом идем в логи и прочее.
Соответственно, я расположил проверки так, как сам по ним иду. Может кто-то что-то подглядит, может кто-то возьмется это юзать (Упаси боже твою душу грешную).
Сам чек-лист тут: https://github.com/empty-jack/YAASC
В общем. Я постоянно теряюсь, что проверять при анализе защищенности Android приложения. Постоянно боюсь что-то забыть. OWASP MSTG слишком большой, чтобы его листать на каждое приложение и вычитывать.
Решил запилить для себя чеклист.(Он пока сырой, буду активно дописывать по мере проверок мобилок)
Главный принцип в нем (Который я выработал для себя, вам он конечно же может быть не удобен) - это делать проверки похожих\рядом лежащих вещей максимально близко друг к другу.
Т.е. я обычно сначала открывают AndroidManifest и начинаю смотреть че там есть. Значит тут сразу смотрим бэкап дебаг, и тд. Потом секреты, потом идем в логи и прочее.
Соответственно, я расположил проверки так, как сам по ним иду. Может кто-то что-то подглядит, может кто-то возьмется это юзать (Упаси боже твою душу грешную).
Сам чек-лист тут: https://github.com/empty-jack/YAASC