Codifica dei dati lato client Android / bypass di crittografia

0

Sto lavorando su un progetto di sicurezza per applicazioni Android in cui l'applicazione Android invia tutti i dati in crittografia solo dal lato client. Presumo che ci deve essere un file sul lato client che potrebbe essere la crittografia / codifica dati dalla mia fine. Indipendentemente dal numero di campi di input presenti in un singolo modulo, solo due parametri passano attraverso il mio server sul server che sono i seguenti:

  1. json_secure

    Il valore di esempio di questo parametro è il seguente:

    json_secure=5VuZ6sZ1GJac4IJYSiPqQo8y2mJvymHJcpJXIrN9x8pgwrGXUdKQzFfAVJzeTooBlXrQp9F2BqehKaTDHHL7%2BIdkE%2BBhCSUL67fBKAxFERb15Ptk0UNkNOhP2PkGbfKr%2FT%2BQ8hypg1x3AmA5zdESUiX6KQ1pwTt7D5qD%2Be3ONtfhdktmlT%2Bb21hvJBRLJcmqtVOc6soE2I2urIyvrRW8Bk7pzz6IMFx7J52baOyKwbnKRB6FI2m3M260jbtKptSQZuqVf34PPLKdCZpKRQH33rqhpjyCQm5lT3DUpmj1yvAbhBiifeu1DdiaLzEq%2BgIiLQAe9l2pQHhh6ru86H8Y7ULWU%2FWAjDW%2Bbw88Hc%2F4FFNTn9G3Q8wBTMowTJFdU2ZfFg%3D%3D
    
  2. json_id

    Il valore di esempio di questo parametro è il seguente:

    json_id=568d72bbf4c022db488a3a7e087c8dca9a4d3f350230a44b762427f2a067f628
    

Gentilmente suggeriscimi come bypassare questo meccanismo per manomettere i dati attraverso la Burp Suite.

    
posta FrOgY 07.05.2016 - 16:18
fonte

1 risposta

1

Presumo che ci debba essere un file sul lato client che potrebbe codificare / codificare i dati dalla mia parte: Sì se viene utilizzato un ulteriore livello di crittografia oltre a Transport Layer Protections (TLS / SSL), quindi la crittografia viene eseguita sul lato client.

Indipendentemente dal numero di campi di input presenti in un singolo modulo, solo i due parametri passano attraverso il mio server sul server che sono i seguenti: Forse tutti i parametri sono inviati in Cipher Text come coppie di valori chiave separati da alcuni delimitatori.

Gentilmente suggeriscimi come bypassare questo meccanismo per manomettere i dati attraverso la Suite di Burp: È possibile decodificare l'applicazione e ottenere il codice sorgente dell'applicazione (JADx, dex2jar e JD-GUI). Quindi, attraverso l'analisi del codice sorgente, è possibile identificare le classi che possono essere utilizzate per la crittografia. Ad esempio: è possibile cercare manualmente le istanze della classe javax.crypto.Cipher che possono essere utilizzate per la crittografia. Puoi persino utilizzare strumenti automatici come MobSF che renderanno il compito molto più semplice per te.

Il codice sorgente è offuscato: Il codice sorgente offuscato ha creato solo un ostacolo per l'analista / utente malintenzionato che può ancora essere letto e compreso.

    
risposta data 28.09.2017 - 18:55
fonte

Leggi altre domande sui tag