من امتع المعلومات الي تمنيت اني اعرفها في بداية مسيرتي الهكرجيه هي
الـ Network traffic analysis
للـ Mobile application
ببساطه؛ كل برنامج بالجوال يتصل بالشبكة العنكبوتية عشان يجيب معلومات او يودي معلومات او يمارس اي ممارسه عبر النت له Network traffic او ريكوزتات يرسلها
الـ Network traffic analysis
للـ Mobile application
ببساطه؛ كل برنامج بالجوال يتصل بالشبكة العنكبوتية عشان يجيب معلومات او يودي معلومات او يمارس اي ممارسه عبر النت له Network traffic او ريكوزتات يرسلها
عشان تشوف وتحلل الريكوزتات هذي:
- تحتاج بروكسي مثل burpsuit
- جوال او محاكي
ويكون الجوال واللابتوب او الـ pc الي عليه
الـ burpsuit شابكين على نفس الشبكه، وتشوف الشرح ..
فيه محاكي جيد للاندرويد اسمه genymotion للي يبي يستفيد
- تحتاج بروكسي مثل burpsuit
- جوال او محاكي
ويكون الجوال واللابتوب او الـ pc الي عليه
الـ burpsuit شابكين على نفس الشبكه، وتشوف الشرح ..
فيه محاكي جيد للاندرويد اسمه genymotion للي يبي يستفيد
بالبداية تفتح البرب سويت وتروح الى
Proxy > Options > Proxy Listeners > Add
وتضيف listener جديد بب بورت على كيفك انا متعود احط بورت البروكسي 8088 للجوال و 8080 للمتصفح
Proxy > Options > Proxy Listeners > Add
وتضيف listener جديد بب بورت على كيفك انا متعود احط بورت البروكسي 8088 للجوال و 8080 للمتصفح
بعدين من الجوال تروح للوايفاي وتدخل على الشبكه وتنزل تحت اخر شي وتضيف بروكسي، السيرفر بيكون الاي بي تبع اللابتوب او الـ pc والبورت مثل ما قلنا 8088 او اي بورت انت تبيه، اهم شي هو نفسه الي بالـ burpsuit
لا زلنا بالجوال نروح للرابط
https://burp/
وننزل الشهادة كما تشاهدون بالفيديو
https://burp/
وننزل الشهادة كما تشاهدون بالفيديو
بقى علينا شغله مهمه الا وهي install profile تبع الـ burpsuit مثل ما تشوفون
والان اصبح لدينا جوال اي ريكوزت تجيه او تطلع منه تظهر لنا بالبرب سويت
ملاحظة؛ فيه برامج تسوي بعض الأنواع من الحماية على سبيل المثال SSL Pinning او Root detection، وتعكر مسألة المراقبة والتحليل ولها طرق للتخطي، ولكن ما راح اتطرق لها بهذا الشرح
ملاحظة؛ فيه برامج تسوي بعض الأنواع من الحماية على سبيل المثال SSL Pinning او Root detection، وتعكر مسألة المراقبة والتحليل ولها طرق للتخطي، ولكن ما راح اتطرق لها بهذا الشرح
طبعاً الحين لو تدخل اي برنامج بالجوال وتتصفحه بتشوف الريكوزتات، وكيف تجي وتروح المعلومات من والى الجوال + لا تستغرب اذا لقيت الموقع تبع البرنامج يشتغل بطريقة ونظام مختلف عن البرنامج من حيث الريكوزتات على الرغم من انهم يؤدون نفس العمليه او الوظيفة
#قصه_هكرجيه_قصيره
مره من المرات كنت افحص احد برامج البق باونتي وكان السكوب تبع البرنامج
cross-platforms يعني السكوب دومين البرنامج + برنامج الجوال اندرويد وايفون
كك اي هكرجي فحصت
الـ reset function للموقع ولقيت ان العملية تجري كالتالي؛
مره من المرات كنت افحص احد برامج البق باونتي وكان السكوب تبع البرنامج
cross-platforms يعني السكوب دومين البرنامج + برنامج الجوال اندرويد وايفون
كك اي هكرجي فحصت
الـ reset function للموقع ولقيت ان العملية تجري كالتالي؛
1- المستخدم يطلب استعادة كلمة المرور
2- الموقع يطلب من المستخدم ادخال رقم الجوال
3- الموقع يرسل كود على رقم الجوال المُدخل
4- المستخدم يدخل الكود على الموقع
5- اذا الكود صحيح، الموقع يطلب من المستخدم ادخال كلمة سر جديدة
2- الموقع يطلب من المستخدم ادخال رقم الجوال
3- الموقع يرسل كود على رقم الجوال المُدخل
4- المستخدم يدخل الكود على الموقع
5- اذا الكود صحيح، الموقع يطلب من المستخدم ادخال كلمة سر جديدة
كلاً من الموقع والبرنامج يمشون الخطوات الثلاثة الاولى نفس الشي ولكن بالخطوة الرابعه كك هكرجي بسوي تخمين على الكود وهذي فكره وارده جداً كون الكود يتألف من ٤ ارقام؛
طيب وش يصير اذا خمنت على الموقع ؟ ووش يصير اذا خمنت على البرنامج ؟
طيب وش يصير اذا خمنت على الموقع ؟ ووش يصير اذا خمنت على البرنامج ؟
اذا خمنت على الموقع بعد عدد من التخمينات يتوقف الحساب لمدة معينه
ولكن في البرنامج الي بالجوال فيه ريكوزته اضافيه وظيفتها انها تتاكد من الكود اذا كان صحيح تقولك يبا الكود صحيح واذا الكود خطأ تقولك الكود خطأ
والشي الحلو بالريكوزته هذي انها بدون rate-limit يعني خمن على كيف كيفك
ولكن في البرنامج الي بالجوال فيه ريكوزته اضافيه وظيفتها انها تتاكد من الكود اذا كان صحيح تقولك يبا الكود صحيح واذا الكود خطأ تقولك الكود خطأ
والشي الحلو بالريكوزته هذي انها بدون rate-limit يعني خمن على كيف كيفك
للامانه بعد ما سلمت التقرير قالوا لي بأن الكود يتقفل او يتغير او ينحرق بعد نص ساعه، ونص ساعه كثيره حيل على تخمين ٤ خانات من الارقام بب اداة مثل ffuf الي بتجيب الكود بب دقيقة بالكثير ..
وفي الختام لا يشكر الله من لا يشكر الناسِ
احب اشكر نفسي على المجهود الجبار الي قاعد اسويه الفتره الحاليه فعلاً فعلاً شكراً يا انا 💛
وادام الله اوقاتكم على الطاعات 🌺
احب اشكر نفسي على المجهود الجبار الي قاعد اسويه الفتره الحاليه فعلاً فعلاً شكراً يا انا 💛
وادام الله اوقاتكم على الطاعات 🌺
جاري تحميل الاقتراحات...