Escolar Documentos
Profissional Documentos
Cultura Documentos
PARA PENTEST
MOBILE QUE TODO
PENTESTER DEVE
CONHECER
Com esse alto crescimento na tecnologia temos um alto crescimento e impacto de vulnerabilidades e problemas
de segurança e é justamente nesse ponto que entramos, os Testes de Segurança em Aplicativos Mobile mais
conhecidos como Pentest Mobile.
Atualmente a segunda maior demanda que temos em serviços de Pentest aqui na empresa é para testes em
aplicativos mobile, por isso decidi listar abaixo as 5 principais ferramentas que todo Pentester (Profissional que
realiza testes de segurança) deve conhecer para realizar Pentest em Aplicativos Android.
Mas porque colocamos ele na lista para Pentest Mobile? O fato é que ter um ambiente de desenvolvimento é
muito interessante não só para entender o processo de desenvolvimento de um aplicativo, mas também por
conta de ter acesso a um emulador e alguns utilitários essenciais durante a comunicação com o device durante
os testes de segurança.
APKTOOL
É uma ferramenta para engenharia reversa de aplicativos Android, ela pode decodificar recursos para um
formato próximo ao original e reconstruí-lo após fazer modificações.
Essa ferramenta é muito útil em Pentest Mobile pois podemos analisar arquivos do aplicativo, código smali e
podemos fazer alterações no código e reconstruir o app para burlar problemas lógicos por exemplo.
DEX2JAR
O dex2jar permite converter códigos dex no formato jar (Java Archive) no qual permite visualizar os arquivos
.class de forma organizada.
Em Pentest Mobile é muito interessante pois permite analisarmos o código do aplicativo afim de entender a
lógica e assim descobrir vulnerabilidades de segurança.
JD-GUI
JD-GUI é um utilitário gráfico que permite uma visualização de código fonte java de arquivos .class. Podemos
abrir um .jar utilizando ele e teremos uma visualização legível de toda estrutura e do código fonte.
Em Pentest Mobile o JD-GUI torna muito fácil a visualização do código fonte de forma gráfica tornando mais
simples o entendimento do código assim como descoberta de vulnerabilidades e informações sensíveis.
BURP SUITE
Essa sem dúvidas não pode faltar na caixa de ferramentas de um Pentester, o Burp Suite é um proxy muito
conhecido para Pentest WEB. Ele permite interceptar, analisar e modificar a comunicação entre cliente e
servidor.
Em Pentest Mobile isso é muito interessante pois podemos analisar a comunicação entre o aplicativo e o
servidor remoto (backend) e em muitos casos burlar controles de segurança, acessar informações sensíveis ou
fraudar o aplicativo.