Nick Security Log

securityを始めとしたNickのブログです

Nick技術週報 12/7~12/14

12/7

Android用環境作成

静的解析からネットワーク解析まで始めることが可能に。

静的解析はAndroid Tamerを使用。
とはいえ、MobSFくらいしか使っていない。

androidtamer.com

動的解析はAndroid Studioのadbを使用。
ネットワークはBurp。

ARMのバイナリが入っているapkはエミュレータにインストールできないらしい?


Cookie samesite属性について
意気揚々とCSRFをやろうとしたら、こいつのせいで出来なかった。

ドメインをまたぐときにCookieをセットするかの設定とのこと。
これの値でどれだけ厳密にするか決まる。

developers-jp.googleblog.com



12/8

Android Testing
環境が出来たので、通してやってみることに。

疑問・調査点

  • activityとは?
  • Broadcastとは?
  • contentproviderとは?

基本的なことを知らなさすぎる。
OWASP top 10をもとにチェックリストを作り、とりあえず数こなす。

www.owasp.org



Fuzzing payload 更新
マイナス、各種記号、ブラインド用のものを追加。


12/9

Android Testing
静的解析は、MobSFの結果を解析する。
とりあえずMobSFに頼る。


12/14

GraphQL
バグバウンティにてご対面。
全体的に調査中。

www.youtube.com