Android application penetration testing

Análisis estático

• Revisión de AndroidManifest.xml.

  • Versiones de Android compatibles.

  • Depuración.

  • Copia de seguridad.

  • Permisos.

  • Activity.

  • Broadcast receiver.

  • Content providers.

  • Services.

  • Funcionalidades exportadas.

• Análisis estático manual.

  • Reversing de aplicación móvil.

  • Revisión de principales directorios y archivos.

  • Búsqueda de archivos.

  • Búsqueda de patrones y palabras claves en el código.

• Análisis estático automatizado.

Análisis dinámico

• Activities.

• Deep links.

• Content providers.

• Services.

• Anti-root.

• Captura de tráfico de red.

  • Burp Suite.

  • SSL Pinning.

• Almacenamiento de datos.

  • SD card.

  • SharedPreferences.

  • Bases de datos.

• Logs.

• WebViews.

• Hooking.

• Memory dump.

• Análisis dinámico manual.

  • Revisión de principales directorios y archivos.

• Análisis dinámico automatizado.