பயனர் கடவுச்சொற்கள் முதல் கட்டண விவரங்கள் வரை அனைத்தையும் வைத்திருக்கும் டிஜிட்டல் பெட்டகம் போன்ற மொபைல் பயன்பாட்டைப் பற்றி சிந்தியுங்கள். ஊடுருவல் சோதனையாளராக, உங்கள் பணியானது பெட்டகம் இறுக்கமாக மூடப்பட்டிருப்பதை உறுதி செய்வதாகும்—எந்தவொரு உண்மையான தாக்குதலாளியும் உள்ளே நுழைய முயற்சிக்கும் முன்பே. இந்த வழிகாட்டியில், சரியான கருவிகளைச் சேகரிப்பது முதல் மொபைல் ஊடுருவல் முழுவதையும் நாங்கள் உங்களுக்குக் காண்பிப்போம். குறியீடு மற்றும் போக்குவரத்தை பகுப்பாய்வு செய்தல். உள்ளே குதிப்போம்!

அறிமுகம்

மொபைல் சாதனங்கள் கிட்டத்தட்ட நம்மைப் போலவே இருக்கும் உலகில் நாம் வாழ்கிறோம். மக்கள் தங்கள் வங்கி , ஷாப்பிங் மற்றும் ஃபோன்களில் பழகுவதால் , பயன்பாட்டின் பாதுகாப்பை உறுதி செய்வது மிக முக்கியமானது. அதனால்தான் மொபைல் பெண்டெஸ்டிங் முக்கியமானது: பலவீனங்களை அம்பலப்படுத்தவும், டெவலப்பர்கள் அவற்றை சரிசெய்ய உதவவும், பயன்பாடுகளுக்கு எதிரான தாக்குதல்களை நாங்கள் உருவகப்படுத்துகிறோம்.

இதில் உங்களுக்கு என்ன இருக்கிறது:

• மன அமைதி : தரவு கசிவுகள் அல்லது திருடப்பட்ட சான்றுகள் காரணமாக நீங்கள் தூக்கத்தை இழக்க மாட்டீர்கள்.
• இணக்கம் : கட்டுப்பாட்டாளர்கள் (மற்றும் உங்கள் பயனர்களுக்கு) வலுவான பாதுகாப்பு தரநிலைகள் தேவை.
• நற்பெயரை அதிகரிப்பது : பாதுகாப்பான பயன்பாடுகள் மகிழ்ச்சியான வாடிக்கையாளர்களையும் எதிர்மறையான தலைப்புச் செய்திகளின் அபாயத்தையும் குறிக்கிறது.

மொபைல் பென்டெஸ்டிங் என்றால் என்ன?

அதன் மையத்தில், மொபைல் பென்டெஸ்டிங் என்பது ஒரு செயலிக்குள் நுழைவதற்கான ஆக்கப்பூர்வமான வழிகளைக் கண்டுபிடிப்பதாகும்-உண்மையான தாக்குபவர் செய்வது போலவே-இதனால் நீங்கள் முதலில் பலவீனங்களை சரிசெய்யலாம். மொபைல் பயன்பாடுகள் என்பதால் இது நிலையான இணையப் பெண்டெஸ்டிங்கிலிருந்து வேறுபட்டது:

• தனித்துவமான இயங்குதளங்களில் இயக்கவும் : Android மற்றும் iOS ஒவ்வொன்றும் அதன் சொந்த விதிகள், பாதுகாப்பு மாதிரிகள் மற்றும் வினோதங்களைக் கொண்டுள்ளன.

• சாதனங்களில் தரவைச் சேமிக்கவும் : முக்கியமான தகவலை உள்நாட்டில் சேமிக்க முடியும், இது சாதனம் சார்ந்த சேமிப்பகத்தை ஆராய்வது முக்கியமானது.

• ஏபிஐகளை பெரிதும் நம்புங்கள் : மொபைல் பயன்பாடுகள் பெரும்பாலும் ஏபிஐகள் மூலம் பின்தள சேவையகங்களுடன் பேசுகின்றன, அவை தவறாக உள்ளமைக்கப்படலாம் அல்லது சரியாக சோதிக்கப்படாவிட்டால் பாதிக்கப்படலாம்.

  
  

பொதுவான சவால்களில் ரூட்/ஜெயில்பிரேக் கண்டறிதல் , SSL பின்னிங்கைத் தவிர்ப்பது மற்றும் கிளையன்ட் பக்க மற்றும் சர்வர் பக்க லாஜிக் இரண்டையும் பகுப்பாய்வு செய்வது ஆகியவை அடங்கும்.

மொபைல் பயன்பாடுகளுக்கு பொதுவான அச்சுறுத்தல்கள்

ஒரு இடைக்கால கோட்டையை சித்தரிக்கவும் - இவை பொதுவான "பலவீனமான இடங்கள்" தாக்குபவர்களின் இலக்கு:

1. பாதுகாப்பற்ற தரவு சேமிப்பு
   • உணர்திறன் டோக்கன்கள் அல்லது பயனர் நற்சான்றிதழ்கள் சாதனத்தில் குறியாக்கம் செய்யப்படாமல் விடப்படும்.
2. பலவீனமான சர்வர் பக்க கட்டுப்பாடுகள்
   • உள்ளீடு சரிபார்ப்பு அல்லது ஹேக்கர்கள் பயன்படுத்தக்கூடிய குறைபாடுள்ள API லாஜிக் இல்லை.
3. போதிய போக்குவரத்து அடுக்கு பாதுகாப்பு இல்லை
   • HTTP அல்லது குறைபாடுள்ள HTTPS ஐப் பயன்படுத்தி, தாக்குபவர்கள் நெட்வொர்க் ட்ராஃபிக்கை இடைமறிக்க அல்லது மாற்ற அனுமதிக்கிறது.
4. பாதுகாப்பற்ற அங்கீகாரம் மற்றும் அங்கீகாரம்
   • மோசமாக செயல்படுத்தப்பட்ட உள்நுழைவு அமைப்புகள், அமர்வு மேலாண்மை அல்லது அனுமதி சோதனைகள்.
5. வாடிக்கையாளர் பக்க பாதிப்புகள்

   • ரகசியங்களை வெளிப்படுத்த தலைகீழாக வடிவமைக்கப்பட்ட குறியீடு அல்லது இயக்க நேரத்தில் கையாளக்கூடிய தர்க்கம்.

     
     

இந்த அபாயங்களைப் பற்றி மேலும் அறிய OWASP மொபைல் டாப் 10 மற்றும் மொபைல் பயன்பாட்டு பாதுகாப்பு சோதனை வழிகாட்டி (MASTG) ஆகியவற்றைப் பார்க்கவும். அவை சாத்தியமான எல்லா ஆபத்துக்களையும் எடுத்துக்காட்டும் வரைபடங்கள் போன்றவை.

மொபைல் சோதனைக்குத் தயாராகுங்கள்

நீங்கள் கோட்டையைத் தாக்கும் முன், உங்களுக்கு சரியான கவசம் மற்றும் ஆயுதங்கள் தேவை. நிஜ உலகத் தரவைப் பாதிக்காமல் நீங்கள் பாதுகாப்பாகப் பரிசோதனை செய்யக்கூடிய சூழலை அமைப்பது என்று அர்த்தம். ஆண்ட்ராய்டு மற்றும் iOS இரண்டிற்கும் அடிப்படைகளை வழங்குவோம்.

அண்ட்ராய்டு

ஆண்ட்ராய்டு பயன்பாடுகளைச் சோதிக்கும்போது, ஆண்ட்ராய்டு எமுலேட்டர் அல்லது ஜெனிமோஷன் போன்ற கருவிகளைப் பயன்படுத்தி மெய்நிகர் சாதனங்களைச் சுழற்றலாம். இந்த எமுலேட்டர்கள் இயற்பியல் சாதனம் தேவையில்லாமல் பயன்பாடுகளை விரைவாக நிறுவி சோதிக்க உங்களை அனுமதிக்கின்றன. ஒன்றை அமைப்பதற்கான விரிவான வழிமுறைகளை இந்த வழிகாட்டியில் காணலாம்.

ஆண்ட்ராய்டு எமுலேட்டர்

இருப்பினும், ஒரு இயற்பியல் சாதனத்தைப் பயன்படுத்துவது மிகவும் துல்லியமான முடிவுகளை அளிக்கிறது-குறிப்பாக நிஜ-உலக நெட்வொர்க் நிலைமைகள், சென்சார்கள் அல்லது பயோமெட்ரிக் அங்கீகாரத்தை நீங்கள் சோதிக்க வேண்டும். ரூட் காசோலைகள் அல்லது ஆழமான தரவு தடயவியல் போன்ற மேம்பட்ட சோதனைகளை நீங்கள் திட்டமிடுகிறீர்கள் என்றால், உண்மையான வன்பொருள் வைத்திருப்பது ஒரு பெரிய பிளஸ் ஆகும்.

நீங்கள் ஒரு பிரத்யேக சாதனத்தை வாங்க அல்லது கடன் வாங்க முடிவு செய்தால், சில ஆண்ட்ராய்டு ஃபோன்கள் ரூட் செய்ய எளிதாக இருக்கும் என்பதை நினைவில் கொள்ளவும். ரூட்டிங் உங்களுக்கு ஆப்பரேட்டிங் சிஸ்டத்திற்கு ஆழமான அணுகலை வழங்குகிறது, இது மறைக்கப்பட்ட கோப்புகளை பகுப்பாய்வு செய்யவும், பயன்பாட்டுக் கட்டுப்பாடுகளைத் தவிர்க்கவும் மற்றும் உயர்ந்த அனுமதிகள் தேவைப்படும் சக்திவாய்ந்த கருவிகளை இயக்கவும் உங்களை அனுமதிக்கிறது.

வேர்விடும்

ஆண்ட்ராய்டு ரூட்டிங் என்பது உங்கள் போனின் இயங்குதளத்திற்கு எலும்புக்கூடு விசையை கண்டுபிடிப்பது போன்றது. பொதுவாக, நீங்கள்:

1. பூட்லோடரைத் திறக்கவும்.
2. தனிப்பயன் மீட்டெடுப்பை ப்ளாஷ் செய்யவும் (எ.கா., TWRP).
3. Magisk அல்லது SuperSU போன்ற ரூட் மேலாண்மை கருவியை நிறுவவும்.

ஒவ்வொரு ஃபோன் மற்றும் OS பதிப்பும் அதன் நுணுக்கங்களைக் கொண்டுள்ளது, எனவே சில முயற்சிகளுக்கு தயாராக இருங்கள். நல்ல செய்தி என்னவென்றால், ஒரு சாதனம் வேரூன்றியதும், நீங்கள் ஃபார்ம்வேரை தொழிற்சாலை-ரீசெட் அல்லது மேம்படுத்தும் வரை அது பொதுவாக அப்படியே இருக்கும். மறுதொடக்கத்திற்குப் பிறகு iOS ஜெயில்பிரேக்குகளை இழக்க நேரிடும் என்பதை நினைவில் கொள்ளுங்கள் - எனவே ஆண்ட்ராய்டு சில நேரங்களில் சோதனைக்கு மிகவும் நிலையான தளத்தை வழங்குகிறது.

உங்கள் குறிப்பிட்ட ஃபோனுக்கான நம்பகமான வழிகாட்டிகளை எப்போதும் பின்பற்றவும் - முறையற்ற ரூட்டிங் மென்பொருளை சிதைக்கலாம் அல்லது பாதுகாப்பு துளைகளை அறிமுகப்படுத்தலாம். மற்றும், நிச்சயமாக, டைவிங் முன் உங்கள் தரவு காப்பு ! பிக்சல் 3a ஐ ரூட் செய்வதற்கான எடுத்துக்காட்டு

பதிலாள்

பர்ப் சூட் போன்ற ப்ராக்ஸியை உங்கள் "ஸ்பைக்ளாஸ்" என்று நினைத்துக் கொள்ளுங்கள். பயன்பாட்டிற்கு உள்ளேயும் வெளியேயும் செல்லும் அனைத்து போக்குவரத்தையும் பார்க்கவும் மாற்றவும் இது உங்களை அனுமதிக்கிறது. பாதுகாப்பற்ற தகவல்தொடர்பு, குறைபாடுள்ள அங்கீகாரம் அல்லது நிழலான கோரிக்கைகளை நீங்கள் பெறுவீர்கள். மொபைலுக்கான ப்ராக்ஸியை அமைப்பது iOS மற்றும் Android இல் ஒத்ததாகும். ஒவ்வொரு தளத்திற்கும் அதிகாரப்பூர்வ வழிமுறைகளை இங்கே காணலாம்.

சில கட்டமைப்புகளுடன் விஷயங்கள் தந்திரமானவை:

• தனிப்பயன் நெட்வொர்க்கிங் நூலகங்கள் காரணமாக Xamarin சில நேரங்களில் கணினி அளவிலான ப்ராக்ஸி அமைப்புகளை புறக்கணிக்கிறது.

• Flutter ப்ராக்ஸிகளை மதிக்கக்கூடும், ஆனால் சான்றிதழை பின்னிங் செய்வதை செயல்படுத்தலாம், ட்ராஃபிக்கைப் பார்ப்பதிலிருந்து உங்களைத் தடுக்கலாம்.

  
  

இந்த தடைகளை கடக்க, நீங்கள் குறியீட்டை மாற்றலாம், பின்னிங் செய்வதை ஆஃப் செய்ய ஃப்ரிடா அல்லது ஆட்சேபனை போன்ற கருவிகளைப் பயன்படுத்தலாம் அல்லது டிராஃபிக்கைப் பிடிக்க ரிவர்ஸ் ப்ராக்ஸிகளை (எ.கா., mitmproxy ) அமைக்கலாம். உங்கள் அணுகுமுறையை மாற்றியமைப்பது வேடிக்கையின் ஒரு பகுதியாகும்!

ஆப் நிறுவல்

இந்த ஆப்ஸ் இதுவரை Google Play Store இல் இல்லை என்றால்—பென்டெஸ்ட்களுக்கு பொதுவானது—உங்களிடம் ஓரங்கட்ட APK கோப்பு இருக்கும். நீங்கள் Google இயக்ககம் அல்லது நேரடி பதிவிறக்க இணைப்பு மூலம் APK ஐப் பகிரலாம். மற்றொரு வசதியான விருப்பம் Firebase App Distribution ஐப் பயன்படுத்துகிறது, இது பங்குதாரர்களுக்கு அழைப்புகளை அனுப்புவதன் மூலம் சோதனையை ஒழுங்குபடுத்துகிறது.

iOS

iOS இல், இயற்பியல் சாதனம் மிகவும் உண்மையான சோதனை அனுபவத்தையும் வழங்குகிறது. ஃபேஸ் ஐடி , டச் ஐடி மற்றும் சென்சார்கள் போன்ற ஹார்டுவேர்-சார்ந்த அம்சங்களுக்குள் நீங்கள் டைவ் செய்யலாம், அதே நேரத்தில் யதார்த்தமான நெட்வொர்க் தொடர்புகளைப் பிடிக்கலாம். நீங்கள் ஒரு தனிப்பட்ட சாதனத்தை வாங்கினால் அல்லது பயன்படுத்தினால், ஜெயில்பிரேக்கிற்கு எளிமையானதாக அறியப்பட்ட மாடல்களைக் கவனியுங்கள் (எல்லா ஐபோன்களும் இந்த செயல்முறைக்கு சமமாக இல்லை என்பதால்). உங்களுக்கு மெய்நிகர் iOS சாதனங்கள் தேவைப்பட்டால், Corellium சக்திவாய்ந்த கிளவுட் அடிப்படையிலான சோதனையை வழங்குகிறது, இருப்பினும் இது இலவசம் அல்ல. பெரும்பாலான சோதனையாளர்கள் இன்னும் முழுமையான சோதனைகளுக்கு இயற்பியல் சாதனத்தையே நம்பியிருக்கிறார்கள்.

ஜெயில்பிரேக்கிங்

iOS ஜெயில்பிரேக்கிங் ஆனது ஆப்பிள் தனது சாதனங்களில் வைக்கும் பூட்டுகளை அகற்றுவது போல் உணர்கிறது. நீங்கள் ரூட் சலுகைகளைப் பெறுவீர்கள், மாற்றங்களை நிறுவவும், மறைக்கப்பட்ட கோப்பு கோப்பகங்களை ஆராயவும் அல்லது மேம்பட்ட பென்டெஸ்டிங் ஸ்கிரிப்ட்களை இயக்கவும் உங்களை அனுமதிக்கிறது. பிரபலமான கருவிகளில் unc0ver மற்றும் Checkra1n ஆகியவை அடங்கும். சிறந்த தேர்வு உங்கள் iOS பதிப்பு மற்றும் சாதன மாதிரியைப் பொறுத்தது.

நினைவில் கொள்ளுங்கள்:

• புதிய சாதனங்கள் ஜெயில்பிரேக் செய்ய கடினமாக இருக்கும்.
• சில ஜெயில்பிரேக்குகள் மறுதொடக்கம் ("அரை-இணைக்கப்படாதது") பிழைக்காது.
• சிஸ்டம் கோப்புகளுடன் குழப்பமடைவதற்கு முன் எப்போதும் உங்கள் ஐபோனை காப்புப் பிரதி எடுக்கவும் .

உங்கள் சாதனம் மறுதொடக்கம் செய்யும்போது சில பாதுகாப்பு அடுக்குகள் தானாகவே மீண்டும் செயல்படுத்தப்படும் என்பதை நினைவில் கொள்ளவும், எனவே ஒவ்வொரு முறையும் நீங்கள் மின்னழுத்தம் செய்யும்போது மீண்டும் ஜெயில்பிரேக் செய்ய வேண்டியிருக்கும்.

ஆப் நிறுவல்

iOS பயன்பாடுகள் IPA கோப்புகளில் வருகின்றன—Android இல் உள்ள APKகளைப் போலவே. ஜெயில்பிரோக்கன் போனில், Filza போன்ற கோப்பு மேலாளர்கள் அல்லது Sideloadly போன்ற பயன்பாடுகளைப் பயன்படுத்தி IPAகளை நிறுவலாம். மிகவும் அதிகாரப்பூர்வமான வழிக்கு, டெவலப்பர்கள் பெரும்பாலும் TestFlight ஐ நம்பியிருக்கிறார்கள், இது மின்னஞ்சல் வழியாக சோதனையாளர்களை அழைக்க அனுமதிக்கிறது-இணைப்பைத் தட்டினால் போதும், மீதமுள்ளவற்றை iOS கையாளும்.

உங்கள் சூழலை சரியாக அமைத்தல்-சரியான சாதனங்களைத் தேர்ந்தெடுப்பது (மெய்நிகர் அல்லது இயற்பியல்), ப்ராக்ஸிகளை உள்ளமைத்தல் மற்றும் பயன்பாடுகளை எவ்வாறு ஓரங்கட்டுவது என்பதைப் புரிந்துகொள்வது - பயன்பாட்டின் உள் செயல்பாடுகளில் ஆழமாக மூழ்குவதற்கு நீங்கள் தயாராக இருப்பதை உறுதிசெய்கிறது. இது சில டிங்கரிங் ஆகலாம், ஆனால் நீங்கள் சரியான அமைப்பைப் பெற்றவுடன், உண்மையான பெண்டெஸ்டிங் தொடங்கலாம்!

நிலையான பகுப்பாய்வு (SAST)

இப்போது பயன்பாட்டை முழுமையாக இயக்காமல் அதையே ஆய்வு செய்ய செல்லலாம். நீங்கள் உள்ளே நுழையும் முன் ஒரு கோட்டையின் வரைபடத்தைப் படிப்பது போன்றது இது. குறியீடு அல்லது கட்டமைப்பு கோப்புகளில் உள்ள ஹார்டுகோட் ரகசியங்கள் , பாதுகாப்பற்ற உள்ளமைவுகள் மற்றும் பிற சிக்கல்களை நாங்கள் தேடுகிறோம்.

கவனம் செலுத்த வேண்டிய முக்கிய பகுதிகள்

1. ஹார்ட்கோட் செய்யப்பட்ட ரகசியங்கள்

   API விசைகள், டோக்கன்கள், நற்சான்றிதழ்கள் மற்றும் குறியாக்க விசைகள் சில நேரங்களில் நேரடியாக மூலக் குறியீட்டில் முடிவடையும். தாக்குபவர்கள் செயலியைத் தலைகீழாக மாற்றினால், அவர்கள் குறைந்த முயற்சியில் இந்த ரகசியங்களைப் பறித்து, பயனர்கள் அல்லது சேவைகளைப் போல ஆள்மாறாட்டம் செய்யலாம்.

2. பாதுகாப்பற்ற கட்டமைப்புகள்

   அதிகப்படியான அனுமதிக்கப்பட்ட அனுமதிகள், பிழைத்திருத்தக் கொடிகள் இயக்கப்பட்டிருப்பது அல்லது முறையற்ற கையொப்பமிடுதல் ஆகியவை உங்கள் பயன்பாட்டின் கவசத்தில் துளைகளை ஏற்படுத்தலாம். IOS Info.plist இல் NSAllowsArbitraryLoads அல்லது Android:debuggable="true" போன்ற ஒற்றை அமைப்பானது, man-in-the-middle (MITM) தாக்குதல்கள் அல்லது பாதுகாப்பற்ற பிழைத்திருத்தத்திற்கான கதவைத் திறக்கும்.

3. உணர்திறன் தரவு வெளிப்பாடு

   அமர்வு டோக்கன்கள் அல்லது தனிப்பட்ட தகவல்களை சாதனத்தில் எளிய உரையில் (பதிவுகள், பகிரப்பட்ட விருப்பத்தேர்வுகள், உள்ளூர் கோப்புகள்) சேமிப்பது பேரழிவுக்கான ஒரு செய்முறையாகும். உடல் அணுகல் அல்லது ரூட் செய்யப்பட்ட/ஜெயில்பிரோக்கன் ஃபோனைக் கொண்ட எவரும் சுற்றி வளைத்து, மதிப்புமிக்க தரவைத் திருடலாம்—முரட்டுத்தனம் தேவையில்லை.

4. பயன்பாட்டு தர்க்கம் மற்றும் குறைபாடுகள்

   பெரும்பாலும், அடிப்படை சிக்கல்கள் அம்சங்கள் எவ்வாறு செயல்படுத்தப்படுகின்றன என்பதிலிருந்து வருகின்றன. அங்கீகரிப்பு போன்ற அத்தியாவசியச் சரிபார்ப்புகள் காணாமல் போயிருந்தாலோ அல்லது கண்டிப்பாகச் செயல்படுத்தப்படாவிட்டாலோ, தாக்குபவர்கள் உங்கள் பாதுகாப்பை எளிதில் கடந்து செல்லலாம். இதேபோல், பலவீனமான கிரிப்டோகிராஃபிக் செயல்பாடுகள் அல்லது பாதுகாப்பற்ற பயன்பாட்டு கூறுகள் உங்கள் பயன்பாட்டை ஆய்வு செய்யும் எவருக்கும் வாழ்க்கையை எளிதாக்கும்.

MSTG சரிபார்ப்பு பட்டியல்

மொபைல் பாதுகாப்பு சோதனை வழிகாட்டி (MSTG) நிலையான பகுப்பாய்வை முறையாகச் சமாளிக்க உங்களுக்கு உதவும் முழுமையான சரிபார்ப்புப் பட்டியலை வழங்குகிறது:

• [ ] MSTG-STORAGE-1 : உணர்திறன் தரவு சாதனத்தில் மறைகுறியாக்கப்படாமல் சேமிக்கப்படவில்லை.
• [ ] MSTG-STORAGE-2 : பகிரப்பட்ட சேமிப்பகத்தில் முக்கியமான தரவு எதுவும் சேமிக்கப்படவில்லை.
• [ ] MSTG-CRYPTO-1 : கிரிப்டோகிராஃபிக் அல்காரிதம்கள் மற்றும் நூலகங்களின் சரியான பயன்பாடு.
• [ ] MSTG-NETWORK-1 : பாதுகாப்பான தொடர்பு சேனல்கள் (எ.கா., HTTPS/TLS).
• [ ] MSTG-CODE-1 : மூலக் குறியீட்டில் ஹார்ட்கோட் செய்யப்பட்ட ரகசியங்கள் இல்லாதது.
• [ ] MSTG-CODE-3 : குறியீடு தெளிவின்மை சரியான முறையில் பயன்படுத்தப்படுகிறது.
• [ ] MSTG-RESILIENCE-1 : தலைகீழ் பொறியியலுக்கு எதிரான பாதுகாப்பு.
• [ ] MSTG-RESILIENCE-2 : பிழைத்திருத்தத் திறன்கள் உற்பத்தியில் முடக்கப்பட்டுள்ளன.
• [ ] MSTG-PRIVACY-1 : பயனர் அனுமதிகள் மற்றும் தனிப்பட்ட தரவுகளை சரியான முறையில் கையாளுதல்.

SAST கருவிகள்

பயன்பாட்டை இயக்காமல் உங்கள் குறியீடு, கட்டமைப்புகள் மற்றும் பைனரிகளைப் பிரிக்க பல்வேறு கருவிகள் உங்களுக்கு உதவும்:

MobSF (மொபைல் பாதுகாப்பு கட்டமைப்பு)

பயன்படுத்தவும் : APK/IPA மற்றும் MobSF ஐ செருகினால் விரிவான அறிக்கையை உருவாக்கும்: இது சாத்தியமான தவறான உள்ளமைவுகள், சந்தேகத்திற்கிடமான அனுமதிகள் அல்லது ஹார்டுகோட் செய்யப்பட்ட ரகசியங்களை பட்டியலிடும்.

போனஸ் : இது சில டைனமிக் அம்சங்களையும் கொண்டுள்ளது, இது ஒரு நேர்த்தியான ஆல் இன் ஒன் தீர்வாக அமைகிறது.

APKTool (Android)

பயன்படுத்தவும் : டீகம்பைல் செய்து, APKஐ மீண்டும் தொகுத்து உள்ளே என்ன இருக்கிறது என்று பார்க்கவும். AndroidManifest.xmlஐப் படிக்க, ஆதாரங்களைச் சரிபார்க்க அல்லது பயன்பாட்டைச் சரிசெய்ய இது சரியானது.

apktool d app.apk -o output_director

JADX (Android)

பயன்படுத்தவும் : டால்விக் பைட்கோடை (.dex) படிக்கக்கூடிய ஜாவாவாக மாற்றவும். ஏபிஐ விசைகள் போன்ற சாத்தியமான பாதிப்புகளுடன் குறியீட்டின் வரிகளைக் கண்டறிய சிறந்தது.

jadx app.apk -d output_directory

கிளாஸ்-டம்ப், ஹாப்பர், கித்ரா (iOS)

பயன்படுத்தவும் : ஆப்ஜெக்டிவ்-சி வகுப்பு தலைப்புகளை பிரித்தெடுக்கவும் (கிளாஸ்-டம்ப்) அல்லது iOS பைனரிகளை பிரிக்கவும் (ஹாப்பர்/கித்ரா). ஆப்ஸ் ஸ்விஃப்டிஃபைட் செய்யப்பட்டிருந்தால், ஸ்விஃப்ட் மெட்டாடேட்டாவையும் பார்ப்பீர்கள்.

எடுத்துக்காட்டுகள்

அண்ட்ராய்டு

• தகவல் வெளிப்பாடு

• APKTool , JADX , அல்லது MobSF போன்ற கருவிகளைப் பயன்படுத்தி Android பயன்பாடுகளை அவற்றின் APK கோப்புகளில் இருந்து தொகுக்கலாம்.

  இந்த செயல்முறையானது மூலக் குறியீடு, பயன்பாட்டு அமைப்பு மற்றும் AndroidManifest.xml அல்லது .smali கோப்புகள் போன்ற முக்கியமான கூறுகளை வெளிப்படுத்துகிறது, இது பயன்பாட்டின் தர்க்கம் மற்றும் அனுமதிகளை வெளிப்படுத்தும்.

  
  

• தெளிவான உரை போக்குவரத்தை அனுமதிக்கிறது

<application android:usesCleartextTraffic="true" />

குறியாக்கம் செய்யப்படாத (HTTP) தொடர்பைத் தாக்குபவர்கள் செவிமடுப்பதற்காகவோ அல்லது சேதப்படுத்துவதற்காகவோ பயன்படுத்திக் கொள்ளலாம்.

• பிழைத்திருத்தக்கூடிய பயன்பாடு

<application android:debuggable="true" />

சாதனம் (அல்லது முன்மாதிரி) உள்ள எவரும், முக்கிய தரவு அல்லது தர்க்கத்தின் மூலம் பிழைத்திருத்தி மற்றும் ரம்மேஜை இணைக்கலாம்.

• ஹார்ட்கோட் செய்யப்பட்ட API விசைகள்

public class ApiClient { private static final String API_KEY = "12345-abcdef-67890"; private static final String API_SECRET = "superSecretPassword123!"; }

APKTool அல்லது JADX உடனான விரைவான சிதைவு இந்த விசைகளை வெளிப்படுத்துகிறது, தாக்குபவர்கள் பயன்பாட்டை ஆள்மாறாட்டம் செய்ய அல்லது அங்கீகரிக்கப்படாத பின்தள சேவைகளை அணுக அனுமதிக்கிறது.

• எளிய உரையில் உணர்திறன் தரவு

<map> <string name="session_token">abc123XYZ987</string> <string name="user_email">user@example.com</string> </map>

டோக்கன்கள் அல்லது பயனர் விவரங்கள் எளிய உரையில் சேமிக்கப்பட்டால், வேரூன்றிய சாதனம் அவற்றை எளிதாகப் பிரித்தெடுக்கும்.

iOS

• தவறாக உள்ளமைக்கப்பட்ட Info.plist

<key>NSAppTransportSecurity</key> <dict>

<key>NSAllowsArbitraryLoads</key> <true/> </dict>

ஆப்பிள் முன்னிருப்பாக பாதுகாப்பான இணைப்புகளை செயல்படுத்துகிறது, எனவே இதை மேலெழுதுவதால், MITM அபாயங்கள் அல்லது மறைகுறியாக்கப்படாத போக்குவரத்திற்கு பயன்பாட்டைத் திறக்கிறது.

Class-Dump , Hopper Disassembler , மற்றும் Ghidra போன்ற சிதைவு கருவிகள் ஆப்ஜெக்டிவ்-சி வகுப்புகள், முறை பெயர்கள் மற்றும் பைனரி கோப்புகள் உட்பட பயன்பாட்டின் IPA கோப்பு உள்ளடக்கத்தை பிரித்தெடுக்கின்றன.

டைனமிக் அனாலிசிஸ் (DAST)

நிலையான பகுப்பாய்வானது கோட்டையின் வரைபடத்தைப் படிப்பதாக இருந்தால், டைனமிக் பகுப்பாய்வு என்பது ஒவ்வொரு கதவு மற்றும் ஜன்னலைச் சரிபார்க்கும் போது கோட்டைக்குள் சுற்றி நடப்பதாகும். நாங்கள் பயன்பாட்டை இயக்குகிறோம், அது எவ்வாறு செயல்படுகிறது என்பதைப் பார்க்கிறோம், மேலும் ஏதேனும் பலவீனங்களை நிகழ்நேரத்தில் பயன்படுத்த முடியுமா என்பதைப் பார்க்கிறோம்.

கவனம் செலுத்த வேண்டிய முக்கிய பகுதிகள்

1. நெட்வொர்க் தொடர்பு

   போக்குவரத்தின் போது உங்கள் ஆப்ஸின் தரவு கசியவில்லை என்பதை உறுதிப்படுத்திக் கொள்ளவும். உங்கள் ஆப்ஸ் HTTP அல்லது சரியாக உள்ளமைக்கப்படாத HTTPSஐச் சார்ந்திருந்தால், தாக்குபவர் உள்ளே நுழையலாம், குறுக்கிடலாம் அல்லது தரவை மாற்றலாம். காணாமல் போன அல்லது பலவீனமான SSL/TLS சான்றிதழ் பின்னிங்கிற்கும் இதுவே செல்கிறது, மேன்-இன்-தி-மிடில் (MITM) தாக்குதல்களுக்கு உங்கள் பயன்பாட்டை வெளிப்படுத்துகிறது.

2. அங்கீகாரம் & அங்கீகாரம்

   உங்கள் உள்நுழைவுத் திரைகள் மற்றும் பயனர் பாத்திரங்கள் காகிதத்தில் நன்றாகத் தெரிந்தாலும், இயக்க நேரத்தில் யாராவது அவற்றைக் கடந்து செல்ல முடியுமா என்பதுதான் உண்மையான சோதனை. உதாரணமாக, தாக்குபவர் அமர்வு டோக்கன்களை மீண்டும் பயன்படுத்த முடியுமா அல்லது அவற்றை யூகிக்க முடியுமா? ஆப்ஸின் நேரம் சரியாக முடிகிறதா அல்லது அமர்வுகளை எப்போதும் திறந்து வைத்திருக்குமா?

3. இயக்க நேர நேர்மை மற்றும் பாதுகாப்பு சோதனைகள்

   ஒரு சாதனம் ரூட் செய்யப்பட்டதா (Android) அல்லது ஜெயில்பிரோக்கன் (iOS) உள்ளதா என்பதைக் கண்டறிய பல பயன்பாடுகள் முயற்சி செய்கின்றன, பின்னர் சில அம்சங்களை இயக்க அல்லது தடுக்க மறுக்கின்றன. டைனமிக் பகுப்பாய்வின் போது, பயன்பாட்டின் குறியீட்டை இணைத்து இந்த காசோலைகளை கடந்து செல்ல முடியுமா என்று பார்க்க வேண்டும், எனவே நீங்கள் எப்படியும் சோதனை செய்யலாம். இந்த நடவடிக்கைகளை உங்களால் எளிதில் கடந்து செல்ல முடிந்தால், தாக்குபவர்களும் செய்யலாம்.

4. செயல்பாட்டின் போது தரவு கசிவு

   ஆப்ஸ் முக்கியமான தகவல்களை (கடவுச்சொற்கள் அல்லது டோக்கன்கள் போன்றவை) எளிய உரையில் பதிவுசெய்கிறதா? நீங்கள் பயன்பாடுகளை மாற்றும்போது அல்லது சாதனத்தின் பின்னணியில், ரகசியத் தரவுகளுடன் திரை எடுக்கப்பட்டதா? இந்த வகையான தற்செயலான "ப்ரெட்க்ரம்ப்" பாதை தாக்குபவர்களை புதையலுக்கு இட்டுச் செல்லும்.

5. API மற்றும் சர்வர்-பக்க சரிபார்ப்பு

   கிளையன்ட் பார்வையில் ஆப்ஸ் பாதுகாப்பானதாகத் தோன்றலாம், ஆனால் பின்தளத்தில் API பயனர் அனுமதிகள் அல்லது உள்ளீட்டை சரிபார்க்கவில்லை என்றால், தாக்குபவர் அங்கீகரிக்கப்படாத அணுகலைப் பெற அல்லது கணினியை உடைக்க பறக்கும் போது கோரிக்கைகளை மாற்றலாம். கிளையன்ட் மற்றும் சர்வர் நடத்தைகள் இரண்டையும் ஒன்றாகச் சோதிப்பது முக்கியம்.

MSTG சரிபார்ப்பு பட்டியல்

மொபைல் பாதுகாப்பு சோதனை வழிகாட்டி (MSTG) டைனமிக் பகுப்பாய்வையும் உள்ளடக்கியது. மனதில் கொள்ள வேண்டிய சில காசோலைகள் இங்கே:

• [ ] MSTG-RESILIENCE-1 : செயலிழக்கச் செய்தல் அல்லது பொறியியல் முயற்சிகளைத் தலைகீழாக மாற்றுவதை ஆப் கண்டறிந்து தடுக்கிறது.

• [ ] MSTG-RESILIENCE-2 : ஆப்ஸ் ரூட் செய்யப்பட்ட அல்லது ஜெயில்பிரோக்கன் சாதனங்களைக் கண்டறியும்.

• [ ] MSTG-RESILIENCE-3 : பயன்பாடு அதன் குறியீடு மற்றும் ஆதாரங்களின் ஒருமைப்பாட்டை இயக்க நேரத்தில் சரிபார்க்கிறது.

• [ ] MSTG-NETWORK-1 : வலுவான குறியாக்கவியலைப் பயன்படுத்தி அனைத்து நெட்வொர்க் போக்குவரத்தையும் பயன்பாடு குறியாக்குகிறது.

• [ ] MSTG-NETWORK-3 : பொருந்தக்கூடிய இடத்தில் சான்றிதழை பின்னிங் செய்வதை ஆப் செயல்படுத்துகிறது.

• [ ] MSTG-PLATFORM-1 : ஆப் ஆனது இயங்குதள பாதுகாப்பு பொறிமுறைகளை மட்டும் நம்பவில்லை மற்றும் பாதுகாப்பு நடவடிக்கைகளை சுதந்திரமாக செயல்படுத்துகிறது.

• [ ] MSTG-AUTH-2 : அமர்வு நேரம் முடிவடைதல் மற்றும் பயனர் மறு அங்கீகாரத் தேவைகளை ஆப் சரியாக செயல்படுத்துகிறது.

• [ ] MSTG-STORAGE-4 : செயலி பதிவுகளில் முக்கியமான தரவை ஆப்ஸ் பதிவு செய்யாது.

• [ ] MSTG-STORAGE-5 : பாதுகாப்பற்ற இடத்தில் ஆப்ஸ் முக்கியமான தரவைச் சேமிக்காது.

• [ ] MSTG-CRYPTO-1 : இயக்க நேர செயல்பாடுகளுக்கு ஆப்-டு-டேட் கிரிப்டோகிராஃபிக் அல்காரிதம்களைப் பயன்படுத்துகிறது.

  
  

உங்களின் நிஜ உலக சோதனைகளுக்கான சாலை வரைபடம் போன்றவற்றை நினைத்துப் பாருங்கள். அவை பூட்டப்பட்டிருப்பதை உறுதிசெய்ய, ஒவ்வொரு கதவு மற்றும் ஜன்னலை முறையாக குத்த உதவுகின்றன.

DAST கருவிகள்

குறியீட்டு ஆய்வில் கவனம் செலுத்தும் SAST போலல்லாமல், DAST ஆனது பயன்பாட்டை இயக்குவது மற்றும் சரிபார்ப்பதைச் சுற்றி வருகிறது. அந்த செயல்முறையை மென்மையாக்குவதற்கு பிரபலமான கருவிகள் கீழே உள்ளன:

பர்ப் சூட் / OWASP ZAP

பயன்படுத்தவும் : இரண்டும் இடைமறிக்கும் ப்ராக்ஸிகள் ஆகும், இது ஆப்ஸ் மற்றும் பின்தள சேவையகங்களுக்கு இடையே போக்குவரத்தைப் பிடிக்கவும் மாற்றவும் உங்களை அனுமதிக்கும். பாதுகாப்பற்ற இறுதிப்புள்ளிகள், அமர்வு குறைபாடுகள் அல்லது தரவு கசிவுகளைக் கண்டறிவதற்கு ஏற்றது.

ஃப்ரிடா

பயன்படுத்தவும் : இயங்கும் செயல்முறைகளை இணைக்கும் ஒரு டைனமிக் இன்ஸ்ட்ரூமென்டேஷன் கருவித்தொகுப்பு, SSL பின்னிங், ரூட்/ஜெயில்பிரேக் கண்டறிதல் அல்லது பிற கிளையன்ட் பக்க கட்டுப்பாடுகளைத் தவிர்க்க உதவுகிறது.

பொதுவான ஃப்ரிடா கட்டளைகள்

ட்ரோசர் (ஆண்ட்ராய்டு)

பயன்படுத்தவும் : செயல்பாடுகள், சேவைகள், பிராட்காஸ்ட் பெறுநர்கள் மற்றும் உள்ளடக்க வழங்குநர்கள் போன்ற ஆண்ட்ராய்டு கூறுகளை ஸ்கேன் செய்வதில் கவனம் செலுத்துகிறது.

பொதுவான ட்ரோசர் கட்டளைகள்

ஆட்சேபனை

பயன்படுத்தவும் : ஃப்ரிடாவில் கட்டப்பட்டது, ஆனால் SSL பின்னிங்கை முடக்குவது அல்லது பயன்பாட்டின் கோப்பு முறைமையை ஆராய்வது போன்ற பணிகளுக்கு எளிமையான கட்டளைகளுடன். நீங்கள் ஸ்கிரிப்டிங் குரு இல்லை என்றால் சரியானது.

பொதுவான ஆட்சேபனை கட்டளைகள்

எடுத்துக்காட்டுகள்

அண்ட்ராய்டு

• நெட்வொர்க் இடைமறிப்பு மற்றும் மாற்றம்

பர்ப் சூட் போன்ற கருவி மூலம் ஆண்ட்ராய்டு டிராஃபிக்கை ரூட் செய்வதன் மூலம், சோதனையாளர்கள் கோரிக்கைகளை இடைமறித்து மாற்றலாம். எடுத்துக்காட்டாக, பயன்பாடு HTTP மூலம் நற்சான்றிதழ்களை அனுப்பினால் அல்லது TLS சான்றிதழ்களை சரியாகச் சரிபார்க்கத் தவறினால், தாக்குபவர் மேன்-இன்-தி-மிடில் (MITM) தாக்குதல்களைச் செய்யலாம்.

POST /login HTTP/1.1 Host: api.example.com Content-Type: application/json { "username": "test_user", "password": "secret_password" }

அமர்வு டோக்கன்கள், தனிப்பட்ட தரவு அல்லது கட்டணத் தகவல் அம்பலப்படுத்தப்படலாம் அல்லது கையாளப்படலாம்.

• பிழைத்திருத்த பதிவுகள் உணர்திறன் தரவை வெளிப்படுத்துகின்றன

03-09 12:34:56.789 1234 5678 I MyAppLogger: User token = "abc123XYZ987" 03-09 12:34:56.789 1234 5678 I MyAppLogger: Payment info: "card_number=4111111111111111"

ADB (அல்லது தீங்கிழைக்கும் பயன்பாடு) உள்ள எவரும் இந்தப் பதிவுகளைப் படித்து அவற்றைப் பயன்படுத்திக் கொள்ளலாம்.

• பாதுகாப்பற்ற செயல்பாடுகள் / உள்ளடக்க வழங்குநர்கள்

  
  

டிரோசரைப் பயன்படுத்தி, சோதனையாளர்கள் ஏற்றுமதி செய்யப்பட்ட செயல்பாடுகள் அல்லது அங்கீகாரம் தேவையில்லாத உள்ளடக்க வழங்குநர்களைக் கண்டறிய முடியும்.

drozer console connect run app.provider.query

content://com.example.app.provider/users

சரியான அனுமதியின்றி தரவு திரும்பப் பெற்றால், தாக்குபவர்கள் பயனரின் தகவலைப் படிக்கலாம் அல்லது மாற்றலாம்.

• ரூட் கண்டறிதலை புறக்கணித்தல்

ஃப்ரிடா அல்லது ஆட்சேபனை போன்ற கருவிகள் ரூட் கண்டறிதல் அல்லது SSL பின்னிங் காசோலைகளை இயக்க நேரத்தில் புறக்கணிக்க உங்களை அனுமதிக்கின்றன:

frida -U -n com.example.app --eval "..." objection -g com.example.app explore android sslpinning disable android root disable ios sslpinning disable ios root disable

ரூட் செய்யப்பட்ட ஃபோன்களில் தாக்குதல் நடத்துபவர்கள் தொடர்ந்து சோதனை செய்யலாம் அல்லது முக்கியமான செயல்பாடுகளை இணைக்கலாம், ரகசியங்களை வெளிப்படுத்தலாம் அல்லது ஆப்ஸ் லாஜிக்கை சேதப்படுத்தலாம்.

iOS

• ஜெயில்பிரேக் கண்டறிதல் பைபாஸ்

ஜெயில்பிரோக்கன் போனைக் கண்டறிந்தால், பல iOS பயன்பாடுகள் இயங்காது. ஃப்ரிடா மூலம், கண்டறிதல் முறையை நீங்கள் கவர்ந்து மேலெழுதலாம்:

Interceptor.attach(Module.findExportByName(null, "jailbreakDetectionFunction"), { onEnter: function (args) { console.log("Bypassed jailbreak check!"); // Force return a 'clean' status } });

தாக்குபவர்கள் சமரசம் செய்யப்பட்ட சாதனங்களில் பயன்பாட்டை இயக்கலாம் மற்றும் தரவு அல்லது கொக்கிகள் மூலம் சலசலக்கலாம்.

• கணினி பதிவுகளில் உள்ள முக்கிய தரவு

2023-03-09 12:34:56.789 MyApp[1234:5678] Payment info: card_number=4111111111111111 2023-03-09 12:34:56.789 MyApp[1234:5678] session_token=abc123XYZ987

ஜெயில்பிரோக்கன் சாதனங்களில் - அல்லது வெளிப்புற பதிவு சேகரிப்பு மூலம் - தாக்குபவர்கள் நேரடியாக முக்கியமான தரவை அறுவடை செய்கிறார்கள்.

மொபைல் பென்டெஸ்டிங்கில் உள்ள பொதுவான சவால்கள்

• பிளாட்ஃபார்ம் ஃபிராக்மென்டேஷன் : ஆண்ட்ராய்டு சாதனங்கள் OS பதிப்புகள், தனிப்பயன் ROMகள் மற்றும் உற்பத்தியாளர் மாற்றங்கள் ஆகியவற்றில் பரவலாக வேறுபடுகின்றன, இது சோதனையை சிக்கலாக்குகிறது.
• பயன்பாட்டு பாதுகாப்பு நடவடிக்கைகள் : SSL பின்னிங், ரூட்/ஜெயில்பிரேக் கண்டறிதல் மற்றும் தெளிவின்மை போன்ற அம்சங்கள் ஊடுருவலைத் தடுக்கலாம்.
• மூலக் குறியீட்டிற்கான வரையறுக்கப்பட்ட அணுகல் : பிளாக்-பாக்ஸ் சோதனைக்கு பெரும்பாலும் APKTool அல்லது JADX போன்ற கருவிகளுடன் தலைகீழ் பொறியியல் தேவைப்படுகிறது, இது நேரத்தைச் செலவழிக்கும்.
• டைனமிக் அனாலிசிஸ் கட்டுப்பாடுகள் : சாண்ட்பாக்சிங், நினைவகப் பாதுகாப்பு மற்றும் வேரூன்றிய/ஜெயில்பிரோக்கன் சாதனங்களின் தேவை ஆகியவை நிஜ-உலக பணிப்பாய்வு சோதனைகளை சிக்கலாக்குகின்றன.
• நெட்வொர்க் பாதுகாப்பு மற்றும் போக்குவரத்து ஆய்வு : SSL பின்னிங், சான்றிதழ் சரிபார்ப்பு அல்லது VPNகள் நிலையான MITM ப்ராக்ஸிகளைத் தடுக்கலாம். Frida , Burp Suite , மற்றும் mitmproxy போன்ற கருவிகள் பைபாஸுக்கு இன்றியமையாததாகிறது.

அடிக்கடி கேட்கப்படும் கேள்விகள் (FAQ)

• மொபைல் பென்டெஸ்டிங் என்றால் என்ன?

  நிஜ-உலக தாக்குதல்களை உருவகப்படுத்துவதன் மூலம் மொபைல் பயன்பாடு எவ்வளவு பாதுகாப்பானது என்பதை இது சோதிக்கிறது-தாக்குபவர்கள் செய்வதற்கு முன் ஏதேனும் விரிசல்களைத் தேடுகிறது.

• மொபைல் பெண்டெஸ்டிங் ஏன் முக்கியம்?

  ஸ்மார்ட்போன்கள் அதிக அளவு தனிப்பட்ட மற்றும் நிதித் தரவை வைத்திருப்பதால், அவை சைபர் கிரைமினல்களுக்கான பிரதான இலக்குகளாகும்.

• முக்கிய படிகள் என்ன?

  • கட்டுப்படுத்தப்பட்ட சூழலை அமைக்கவும், நிலையான பகுப்பாய்வு (SAST), டைனமிக் பகுப்பாய்வு (DAST), ஆவணக் கண்டுபிடிப்புகள் மற்றும் திருத்தங்களுக்குப் பிறகு மீண்டும் சோதனை செய்யவும்.

• எனக்கு என்ன கருவிகள் தேவை?

  போக்குவரத்து இடைமறிப்புக்கான பர்ப் சூட் அல்லது ZAP, ஸ்கேன்களுக்கு MobSF, APKTool/JADX (Android), Class-Dump/Hopper (iOS), மேலும் ஃப்ரிடா அல்லது ஆட்சேபனை போன்ற ஹூக்கிங் கருவிகள்.

• நாம் எத்தனை முறை பெண்டெஸ்ட் செய்ய வேண்டும்?

  பெரிய புதுப்பிப்புகள், புதிய அம்சங்கள் அல்லது குறிப்பிடத்தக்க உள்கட்டமைப்பு மாற்றங்களுக்குப் பிறகு. சிறந்த முறையில், தொடர்ச்சியான சோதனைகளுக்கு அதை CI/CD இல் ஒருங்கிணைக்கவும்.

• பொதுவான பாதிப்புகள் என்ன?

  பாதுகாப்பற்ற தரவு சேமிப்பு, HTTPS இல்லை, ஹார்ட்கோட் செய்யப்பட்ட ரகசியங்கள், மோசமான அமர்வு மேலாண்மை மற்றும் தவறாக உள்ளமைக்கப்பட்ட APIகள்.

• எல்லாவற்றையும் தானியக்கமாக்க முடியுமா?

  உண்மையில் இல்லை. கருவிகள் சில ஸ்கேன்களை தானியங்குபடுத்தலாம், ஆனால் கைமுறை சோதனையானது தந்திரமான தர்க்க குறைபாடுகள் அல்லது சிக்கலான வணிக விதிகளை வெளிப்படுத்துகிறது.

• நாம் Android மற்றும் iOS இரண்டையும் சோதிக்க வேண்டுமா?

  ஆம், ஒவ்வொன்றும் தனிப்பட்ட பாதுகாப்பு மாதிரிகள் மற்றும் ஆபத்துக்களைக் கொண்டுள்ளன.

• பெண்டெஸ்ட் செய்வது சட்டப்பூர்வமானதா?

  ஆப்ஸ் உரிமையாளரிடம் உங்களுக்கு வெளிப்படையான அனுமதி இருந்தால் கண்டிப்பாக. இல்லையெனில், அது சட்டவிரோதமானது.

• நான் எங்கு தொடங்குவது?

  OWASP மொபைல் பாதுகாப்பு சோதனை வழிகாட்டியை (MASTG) படிக்கவும், அடிப்படை தலைகீழ் மாற்றத்தை கற்றுக் கொள்ளவும், திறந்த மூல பயன்பாடுகள் அல்லது மாதிரி இலக்குகளுடன் பயிற்சி செய்யவும்.

முடிவுரை

மொபைல் பெண்டெஸ்டிங் என்பது ஒரு பெரிய தேடலைப் போன்றது - நீங்கள் கியர் (கருவிகள் மற்றும் சாதனங்கள்) சேகரிப்பதன் மூலம் தொடங்குகிறீர்கள், பின்னர் நிலப்பரப்பை (SAST) ஆராய்ந்து , இறுதியாக ஒவ்வொரு பலவீனமான இடத்தையும் கண்டுபிடிக்க ஒரு நேரடி அணுகுமுறையை (DAST) எடுக்கவும் . இதைத் தொடர்ந்து செய்து, உங்கள் கண்டுபிடிப்புகளைப் புகாரளிப்பதன் மூலம், உங்கள் பயன்பாடுகளை திடமாகவும், உங்கள் பயனர்களைப் பாதுகாப்பாகவும் வைத்திருப்பீர்கள்.

நினைவில் கொள்ளுங்கள்: மென்பொருள் ஒவ்வொரு நாளும் உருவாகிறது, மேலும் அச்சுறுத்தல்களும் உருவாகின்றன. உங்கள் வளர்ச்சியின் வாழ்க்கைச் சுழற்சியின் ஒரு பகுதியாக பெண்டெஸ்டிங்கை ஆக்குங்கள்-ஏனென்றால், உங்கள் பாதுகாப்பைக் குறைக்காமல் இருப்பதே ராஜ்யத்தைப் பாதுகாப்பதற்கான சிறந்த வழி.

ஆசிரியரைப் பற்றி

இந்த கட்டுரை செகுர்னோவில் பாதுகாப்பு சோதனை பொறியாளரான அனஸ்டாசியா டோல்கச்சோவாவால் தயாரிக்கப்பட்டது மற்றும் செகுர்னோவின் CTO அலெக்ஸ் ரோஸ்னியாடோவ்ஸ்கியால் மதிப்பாய்வு செய்யப்பட்டது. அனஸ்தேசியா ஊடுருவல் சோதனை மற்றும் பாதுகாப்பு மதிப்பீடுகளில் ஐந்து ஆண்டுகளுக்கும் மேலான அனுபவத்தைக் கொண்டுள்ளது. வலைப் பயன்பாடுகள், உள்கட்டமைப்பு (ஆன்-பிரைமைஸ் மற்றும் கிளவுட்) மற்றும் மொபைல் தளங்கள் (iOS மற்றும் ஆண்ட்ராய்டு) சோதனை செய்வதில் நிபுணத்துவம் பெற்றவர். அவரது நிபுணத்துவம் பிளாக் பாக்ஸ், கிரே பாக்ஸ் மற்றும் ஒயிட் பாக்ஸ் முறைகள், பாதிப்பு மதிப்பீடுகள் மற்றும் மூலக் குறியீடு பாதுகாப்பு மதிப்புரைகளில் நிபுணத்துவத்துடன் உள்ளது.

அலெக்ஸுக்கு டெவலப்மென்ட் மற்றும் சைபர் செக்யூரிட்டியில் ஏழு வருட அனுபவம் உள்ளது. அவர் AWS திறந்த மூல பங்களிப்பாளர் ஆவார். அவரது நிபுணத்துவம் மென்பொருள் மேம்பாட்டிற்கும் பாதுகாப்பிற்கும் இடையிலான இடைவெளியைக் குறைக்கிறது, நவீன வலை பயன்பாடுகளைப் பாதுகாப்பதில் மதிப்புமிக்க நுண்ணறிவுகளை வழங்குகிறது.

மொபைல் பெண்டெஸ்டிங் கையேடு: குறிப்புகள்

கருவிகள் மற்றும் வளங்கள்

1. மொபைல்-பாதுகாப்பு-கட்டமைப்பு-MobSF
2. ஆப்க்டூல்
3. jadx
4. பர்ப் சூட்
5. ஃப்ரிடா
6. டிரோசர்
7. ஆட்சேபனை
8. ஜெனிமோஷன்
9. கோரேலியம் மெய்நிகர் வன்பொருள்
10. appledb.dev
11. படபடப்பு
12. மேடை-கருவிகள்
13. மேஜிஸ்க்
14. ரூட் செக்கர்
15. செக்ரா1என்
16. unc0ver
17. ஃபில்சா

வழிகாட்டிகள் மற்றும் கட்டுரைகள்

1. OWASP மொபைல் டாப் 10
2. OWASP மொபைல் பயன்பாட்டு பாதுகாப்பு
3. OWASP MASTG
4. NIST SP 800-163
5. ஆண்ட்ராய்டு ஸ்டுடியோவைப் பதிவிறக்கி நிறுவவும்
6. Burp Suite உடன் வேலை செய்ய Android சாதனத்தை உள்ளமைத்தல்
7. Burp Suite Professional உடன் பணிபுரிய iOS சாதனத்தை உள்ளமைத்தல்
8. Xamarin பயன்பாடுகளை ஹேக்கிங்