Projeto em construção com dicas, etapas e ferramentas úteis para realizar testes de intrusão em aplicações móveis (Android/iOS).
Aqui você encontra exemplos práticos de vulnerabilidades, comandos, scripts e um passo a passo para análise estática e dinâmica.
⚠️ Este projeto está sendo aprimorado continuamente conforme meus estudos em segurança mobile avançam. Novos testes, ferramentas e técnicas serão adicionados com o tempo.
- Coleta de informações (OSINT)
- Engenharia reversa (APK/iOS)
- Análise estática
- Análise dinâmica
- Interceptação de tráfego
- Exploração de vulnerabilidades
- Pós-exploração
| Etapa | Ferramentas |
|---|---|
| Engenharia Reversa | apktool, jadx, dex2jar, mobSF, Ghidra |
| Análise Estática | mobSF, semgrep, AndroBugs, grep |
| Análise Dinâmica | Frida, Objection, Xposed, MobSF dynamic |
| Interceptação de Tráfego | Burp Suite, Charles Proxy, mitmproxy |
| Emuladores | Android Studio, Genymotion, AVD, Anbox |
SharedPreferences prefs = getSharedPreferences("data", MODE_PRIVATE);
prefs.edit().putString("token", "123456").apply();
❌ SSL Pinning Desativado
TrustManager[] trustAllCerts = new TrustManager[]{
new X509TrustManager() {
public void checkClientTrusted(...) {}
public void checkServerTrusted(...) {}
public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; }
}
};
webView.getSettings().setJavaScriptEnabled(true);
webView.loadUrl("http://example.com");
🔑 Credenciais Hardcoded
String password = "admin123";
🧪 FLUXO DE TESTES
apktool d app.apk -o output/
jadx-gui app.apk
grep -Ri "http://" output/
frida-trace -n com.app.alvo -m "*senha*"
📝 TODO
-
Checklist de testes
-
Scripts para automação (frida, burp, etc.)
-
Exemplos de apps vulneráveis
-
Documentar bypass de root detection / SSL pinning
🎯 Foco: Aprendizado prático em segurança mobile
👨💻 Autor Projeto feito por Gustavo Souza