Damn Vulnerable Bank: Aplicación Vulnerable En Android (Para Aprendizaje)
Damn Vulnerable Bank es una aplicación para Android que simula ser una app de un banco y que nos proporciona una interfaz para realizar pruebas y poder obtener una comprensión detallada de los aspectos internos y de seguridad más comunes.
Aplicación
- Descargar la apk e instalarla a través de adb o manualmente
- Abrir la aplicación y agregar la IP de backend en la pantalla de inicio
- Probar el estado de ejecución presionando verificación de estado
- Crear una cuenta mediante la opción de registro o signup y luego iniciar sesión con las credenciales
- Realizar operaciones bancarias
- Iniciar sesión como administrador para aprobar al beneficiario
Características
- Sign up/login
- Interfaz de profile
- Cambio de contraseña
- Interfaz de configuración para actualizar la URL del backend
- Agregar la verificación de fingerprints antes de transferir/ver fondos
- Agregar chequeo de PIN antes de transferir/ver fondos
- Ver saldo
- Transferir dinero
- Mediante entrada manual
- Mediante escaneo QR
- Agregar/Ver beneficiario (eliminar pendiente)
- Ver historial de transacciones (descarga pendiente)
Construyendo la Apk con ofuscación
- Ir a Opciones de compilación y seleccionar Generar paquete firmado/APK
- Luego seleccionar Apk como opción y hacer clic en siguiente
- Crear un nuevo almacén de claves para firmar el apk y recordar la contraseña
- Seleccionar ese almacén de claves e ingresar la contraseña
- Ahora seleccionar Build variant como Release y Signature version como V2
- Construir (build) la APK
Lista de vulnerabilidades en la aplicación (Alerta de spoiler)
- Detección de root y emulador
- Comprobaciones anti-debugging (evita hooking con frida, jdb, etc.)
- SSL pinning: pinear el certificado/clave pública
- Ofuscar todo el código
- Cifrar todas las solicitudes y respuestas
- Información confidencial encodeada
- Fuga de Logcat
- Almacenamiento inseguro (tal vez números de tarjetas de crédito guardados)
- Actividades exportadas
- Token JWT
- Integración de WebView
- Deep links
- IDOR
Autores
- Rewanth Cool (Rest API) | Github | LinkedIn
- Hrushikesh Kakade (Android App) | Github | LinkedIn
- Akshansh Jaiswal (Android App) | Github | LinkedIn
Repo: https://github.com/rewanth1997/Damn-Vulnerable-Bank
Fuente: HackPlayers
Via: feedproxy.google.com
Damn Vulnerable Bank: Aplicación Vulnerable En Android (Para Aprendizaje)
Reviewed by Anónimo
on
9:09
Rating:
Reviewed by Anónimo
on
9:09
Rating:
![[HTB write-up] Apocalyst](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWYJ3g-N6FS3AQ_Gp9GSCTY0iz0IkA-rF03BJFkDFeF0iJ6llJajRtoITdp_6r44vxpujAnVSBG7jazYC8KgX2-UCH_97XlG10zpeSaign8fRgXdpWFX8Eztcg3SNEN8tZpQRfs1rMrh3G/s72-c/apocalyst01.png)
