| title | platform | source |
|---|---|---|
InsecureShop |
android |
InsecureShop は脆弱性を紹介する意図的に設計された Android アプリケーションであり、開発者やセキュリティ専門家に最近の Android アプリによくある落とし穴について教育することを目的としています。Android ペンテストスキルを磨くためのダイナミックなプラットフォームとして役立ちます。
これらの脆弱性の大部分はルート化されていないデバイスで悪用される可能性があり、リモートユーザーと悪意のあるサードパーティアプリケーションの両方からリスクをもたらします。特筆すべきは、このアプリは API を一切使用していないことです。InsecureShop はさまざまな脆弱性を調査する機会を提供します。
- ハードコードされたクレデンシャル: コード内にログインクレデンシャルが埋め込まれています。
- 不十分な URL バリデーション: ディープリンク経由で任意の URL をロードできます。
- 任意のコード実行: サードパーティパッケージからのコードの実行を可能にします。
- 保護されたコンポーネントへのアクセス: サードパーティアプリがセキュアコンポーネントを起動することを許可します。
- 安全でないブロードキャストレシーバ: URL インジェクションを可能にするブロードキャストを登録します。
- 安全でないコンテンツプロバイダ: アクセス可能なコンテンツプロバイダによりユーザーデータを危険にさらします。
これらの学習体験を補完するために、InsecureShop は実装された脆弱性とそれに関連するコードに関する ドキュメント を提供しています。しかし、このドキュメントでは InsecureShop アプリ内で示される各脆弱性に対する完全な解決策を提供することは控えています。