رتبها

ازاي ابدا فالMobile Penetration Testing ؟
الثريد ده هيبقا roadmap لي اي حد عايز يبدأ
الفترة اللي فاتت كنت بذاكر الموضوع ده و جمعت ريسوسيز كتير و كنت حابب اشاركها
فالاول كدا خلينا متفقين ان الموبيل منقسم الي حاجتين Android و IOS و كل نظام فدول بيبقا له الfile system الخاص بيه

و App structure و Architecture بتاعت كل نظام مختلفة عن التاني فا بيبقا لازم تفهم الحاجات دي قبل ما تدخل فال Penetration Testing , طيب ازاي هفهم الحاجات دي ؟
في اكتر من مصدر سواء كتب او كورسات او مقالات بتشرح الحاجات دي
و هحطلكم لينكات و اسماء الكورسات

@aditi.kale20/file-system-of-android-a89dcbb693f1" target="_blank" rel="noopener" onclick="event.stopPropagation()">medium.com
developer.android.com
youtu.be
youtube.com

developer.android.com/reference

Android API reference | Android Developers

Stay organized with collections Save and categorize content based on your preferences. Start buildin...

medium.com/@aditi.kale20/…

File System Of Android

The Android OS is a popular and universally used operating system for smartphones. Android’s user-vi...

youtube.com/playlist?list=…

Clean iOS Architecture

Share your videos with friends, family, and the world

طيب بالنسبة للجزء بتاع الcoding فا وجهة نظري كل لما تذاكر اكتر كل لما تبقي اشطر بس كا minimum انت محتاج تكون عارف تقرا كود جافا و تبقي فاهم هو بيعمل ايه فا ايوة انت محتاج تذاكر جافا و لو ذاكرت حاجة زي flutter او react native مثلا الحاجات دي هتفيدك لما تتعامل مع hybird app

و swift هتفيدك لما تيجي تشتغل علي IPA App اللي هو بتاع ios
طيب هل انا محتاج اكون android/ios Developer علشان ابقي شاطر فالmobile pentest ؟
لا زي ما قولت كفاية تكون بتعرف تقرا الكود و تفهم بيعمل ايه و تعرف تكتب كود بسيط علشان لو عايز تعمل سكربت بيعمل hooking او تعمل bypass لحاجة

بعد ما تذاكر الجزء الخاص بالبرمجة و الApp structure بتاعت كل نظام فيهم محتاج تفهم ازاي بنعمل Pentest for Mobile app
و اللي بيبقا ليها methodology مختلفة عن باقي الدومينز
و بتبقا مراحله :

Information Gathering
هنا بنبدا نجمع معلومات عن App ببدا اشوف هو مكتوب بلغة ايه , ادور اشوف لو فيه leaks للsource code و ايه 3rd party libraries المستخدمة , و هل الapp ده مكتوب Native ولا Hybird ولا web و ابدا ادخل علي جوجل بلاي و اشوف ايه اخر الupdates و features الجديدة

Analysis
و بيبقا في نوعين static و dynamic analysis
فالstatic ببدا اعمل extraction للfiles اللي موجودة فالapp و decompile للكود و ابدا افهم الكود بيعمل ايه و احاول اعمل extract لو في credentials متخزنة فالكود او API tokens او keys و ببدا افهم الapp بيشتغل ازاي

Dynamic Analysis
ببدا اتعامل مع الapp و اشوف الريكوستات اللي بتتبعت من الapp للسيرفر و اشوف Local File system و اشوف الlog files و ابدا اعمل تيست للIPC و اشوف Shared Data يعني بشكل مختصر ببدا اشغل الapp و اشوف الapp بيتعامل ازاي مع الجهاز و بيبعت ايه و بيخزن ايه و هكذا

Testing | Exploitation
فالمرحلة دي ببدا اعمل تيست لي اشهر الثغرات اللي بتبقا موجودة فالموبيل App و اشهر حد شرح الثغرات دي و اتكلم عنها بالتفصيل هما OWASP

من افضل الكتب اللي ممكن تذاكر منها :
The Mobile Application Hacker's Handbook
Android hacker's handbook
Mobile application penetration testing - vijay kumar
Hacking IOS applications - dinesh shetty
OWASP MASTG Testing guide

من افضل الكورسات بقي :
Android app hacking - black belt
Mobile Application Penetration Testing Professional "eMAPT"
TCM : Mobile Application Penetration Testing
SEC575: iOS and Android Application Security Analysis
mobisec.reyammer.io

mobisec.reyammer.io/slides

MOBISEC - Mobile Security Course

Mobile Security class

و كالعادة لازم تطبق عملي علي اللي بتذاكره و تقدر تطبق من هنا :
mas.owasp.org
mobisec.reyammer.io
github.com
و هتلاقي تحديات كتير للموبيل في ctfs كتير تقدر برضو تجرب تحلهم و تشوف writeup ليهم

mobisec.reyammer.io/challs

MOBISEC - Mobile Security Course

Mobile Security class

mas.owasp.org/crackmes/

MAS Crackmes - OWASP Mobile Application Security

Welcome to the MAS Crackmes aka. UnCrackable Apps, a collection of mobile reverse engineering challe...

github.com/reoky/android-…

GitHub - reoky/android-crackme-challenge: A collection of reverse engineering challenges for learning about the Android operating system and mobile security.

A collection of reverse engineering challenges for learning about the Android operating system and m...

مصادر مختلفة شرحت Mobile app penetration testing:
youtube.com
youtube.com
@AhmedMhesham12" target="_blank" rel="noopener" onclick="event.stopPropagation()">medium.com
@HirushanTech/static-analysis-and-dynamic-analysis-over-android-package-file-apk-6721830cb155" target="_blank" rel="noopener" onclick="event.stopPropagation()">medium.com

youtube.com/playlist?list=…

Android Pentesting Series

The only Playlist in youtube, which contains the videos on android penetration testing.

youtube.com/live/OscXnj0kq…

Hacking MOBILE APPS: iOS & Android w/ 7ASecurity

Interested in a 7ASecurity course? Get 50% off any course with code JOHN50 and help support the chan...

medium.com/@AhmedMhesham12

Medium

You can find (just about) anything on Medium — apparently even a page that doesn’t exist. Maybe thes...

medium.com/@HirushanTech/…

Static Analysis And Dynamic Analysis For Android Package Kit (APK)

What is an APK file?

Android API reference | Android Developers