Android App Pentesting For Bug Hunter
Android App Pentesting For Bug Hunter (MobPentest_Abdullah)
Lama Workshop: 2 Hari
Level Workhsop: Beginner
Bug bounty menjadi kegiatan yang sangat populer di tahun-tahun sebelum pandemi COVID-19 dan menjadi sangat banyak peminatnya hingga saat ini. Para bug hunter yang berparitisipasi untuk mencari kerentanan tidak memandang umur. Diberitakan mulai dari yang masih di tingkat sekolah mendapatkan bayaran dari hasil mencari celah keamanan hingga ribuan dollar. Hal ini menjadi pemantik semangat para bug hunter untuk meraup rupiah. Adapun target mayoritas serangan adalah pada aplikasi web yang memiliki scope domain beserta subdomain lainnya. Aplikasi web dipilih karena banyaknya tutorial yang tersebat di internet dan sangat mudah untuk dipraktekkan.
Saat ini aplikasi mobile juga mulai dimasukkan ke dalam scope target. Seperti google contohnya, terdapat ratusan aplikasi Android yang diizinkan untuk di-pentest. Terbatasnya referensi membuat sebagian bug hunter tidak berminat pada pentesting mobile apps.Maka dari itu Workshop ini hadir untuk mengajarkan attack vector apa saja yang biasanya ditemukan pada aplikasi android dan diterima oleh triager bug bounty.
Jika kita melihat pada pedoman OWASP MSTG, tidak semua checklist tersebut masuk ke tingkat low hingga critical, namun lebih banyak severity informational dan not application. Beberapa platform seperti hackerone dan bugcrowd akan mengurangi point seseorang jika mengirimkan severity selain tingkat low hingga critical dan ini juga akan berdampak ke performance seseorang di platform tersebut. Peserta pada workshop ini akan mempelajari mencari celah keamanan di Android yang sesuai dengan ekpektasi platform-platform besar seperti Bugcrowd dan hackerone serta Google.
Dimulai dari mempelajari struktur Android, bagaimana aplikasi bisa di sebarkan ke publik, kemudian dari struktur aplikasi tersebut bagian apa saja yang bisa kita exploitasi dan attack vector lainnya. Materi akan lebih banyak membahas source code review dan reverse engineering dari file APK. Di akhir workshop, kita akan melaksanakan Live bug bounty Hacking!
Skill Requirement
Sangat direkomendasikan, tetapi tidak wajib:
• Pengetahuan tentang konsep keamanan dasar (integritas, ketersediaan, kerahasiaan, kelemahan, kerentanan, serangan)
• Linux command line basic
Workshop Requirements
• Peserta diwajibkan membawa laptop dengan kebutuhan untuk menjalankan Android studio dan emulator android.
• Pastikan untuk bisa terkoneksi internet via Wi-Fi.
• Dibolehkan membawa smartphone Android pribadi yang dipakai selama workshop.
• Sebelum workshop dilaksanakan. Pemateri akan memberikan informasi terkait tools apa saja yang perlu di-install.
Silabus
• Introduction
• Android Apps Structure
• Lab Setup
• Mobile Penetration Testing Methodology
• Source Code Review Methodology
• “Bongkar” APK
• Enumeration / Recon
• Bypass Protection
• Pentest Approach For Spesific Platform
o Java / Kotlin
o React Native
o Flutter
o Cordova
• Insecure Logging
• Hardcoded Secret
• Insecure Data Storage
• Abusing Activities
• Task Hijacking
• Deeplink Exploitation
• Arbitrary File Theft
• Automated Static Analysis Tools
• Learning Resources
• Bug Bounty Live Hacking
Abdullah (@xMrDoel), saat ini bekerja sebagai Cyber Security Consultant di SoftScheck dan aktif mengikuti program-program bug bounty khususnya pada aplikasi web dan mobile. Di tahun 2023 ini, ia terpilih sebagai Microsoft Most Valuable Security Researchers (MVRs), dimana telah berkontribusi dalam melaporkan celah keamanan pada aplikasi Microsoft. Selain itu pernah bekerja sebagai pengajar cyber security di salah satu platform edukasi.
Menjadi pembicara di konferensi nasional seperti IDSECCONF dan Codebali, serta menerbitkan dua buku di bidang cyber Security dengan judul “Kung-Fu hacking dengan NMAP“ dan “Panduan Hacking Website Dengan Kali Linux”. Adapun sertifikasi yang dimiliki saat ini adalah OSCP, OSWE dan CRT.
