Codificación de datos del lado del cliente de Android / bypass de encriptación

0

Estoy trabajando en el proyecto de seguridad de la aplicación de Android, donde la aplicación de Android envía todos los datos en cifrado solo desde el lado del cliente. Supongo que debe haber un archivo en el lado del cliente que podría estar cifrando / codificando los datos desde mi extremo. No importa cuántos campos de entrada haya en una sola forma, solo dos parámetros pasan por mi extremo al servidor, que son los siguientes:

  1. json_secure

    El valor de muestra de este parámetro es el siguiente:

    json_secure=5VuZ6sZ1GJac4IJYSiPqQo8y2mJvymHJcpJXIrN9x8pgwrGXUdKQzFfAVJzeTooBlXrQp9F2BqehKaTDHHL7%2BIdkE%2BBhCSUL67fBKAxFERb15Ptk0UNkNOhP2PkGbfKr%2FT%2BQ8hypg1x3AmA5zdESUiX6KQ1pwTt7D5qD%2Be3ONtfhdktmlT%2Bb21hvJBRLJcmqtVOc6soE2I2urIyvrRW8Bk7pzz6IMFx7J52baOyKwbnKRB6FI2m3M260jbtKptSQZuqVf34PPLKdCZpKRQH33rqhpjyCQm5lT3DUpmj1yvAbhBiifeu1DdiaLzEq%2BgIiLQAe9l2pQHhh6ru86H8Y7ULWU%2FWAjDW%2Bbw88Hc%2F4FFNTn9G3Q8wBTMowTJFdU2ZfFg%3D%3D
    
  2. json_id

    El valor de muestra de este parámetro es el siguiente:

    json_id=568d72bbf4c022db488a3a7e087c8dca9a4d3f350230a44b762427f2a067f628
    

Por favor, sugiérame cómo evitar este mecanismo para manipular los datos a través de Burp Suite.

    
pregunta FrOgY 07.05.2016 - 16:18
fuente

1 respuesta

1

Supongo que debe haber un archivo en el lado del cliente que podría estar cifrando / codificando los datos desde mi final: Sí, si se utiliza una capa adicional de cifrado aparte de las Protecciones de la capa de transporte (TLS / SSL), el cifrado se realiza en el lado del cliente.

No importa cuántos campos de entrada haya en una sola forma, solo dos parámetros pasan por mi extremo al servidor, que son los siguientes: Tal vez todos los parámetros se envíen en texto cifrado como pares de valores clave separados por algunos delimitadores.

Sírveme sugerirme cómo evitar este mecanismo para manipular los datos a través de Burp Suite: Puede aplicar ingeniería inversa a la aplicación y obtener el código fuente de la aplicación (JADx, dex2jar & JD-GUI). Luego, a través del análisis del código fuente, puede identificar las clases que se pueden usar para el cifrado. Por ejemplo: puede buscar manualmente las instancias de la clase javax.crypto.Cipher que se pueden usar para el cifrado. Incluso puedes usar herramientas automatizadas como MobSF que harán la tarea mucho más fácil para ti.

El código fuente está ofuscado: El código fuente ofuscado solo creó un obstáculo para que el analista / atacante aún pueda leerse y entenderse.

    
respondido por el Shiv Sahni 28.09.2017 - 18:55
fuente

Lea otras preguntas en las etiquetas