1. WaTF-Bank là gì?
WaTF-Bank (What-a-Terrible-Failure Mobile Banking Application), là một app mobile được thiết kế như một App Banking ngoài đời thực, chứa 30 lỗ hổng khác nhau. Mục tiêu xây dựng app này là:
- Các nhà phát triển ứng dụng, lập trình viên và kiến trúc hệ thống có thể hiểu và cân nhắc cách tạo phần mềm an toàn bằng cách điều tra ứng dụng dễ bị tấn công (WaTF-Bank) trên cả nền tảng Android và iOS.
- Pentester có thể thực hành kỹ năng đánh giá bảo mật để xác định và hiểu hàm ý của ứng dụng dễ bị tấn công.
2. Cài đặt WaTF-Bank
Download tại GitHub – WaTF-Team/WaTF-Bank: WaTF Bank – What a Terrible Failure Mobile Banking Application for Android and iOS
Down load SDK Platform Tools release notes | Android Developers
Download Download Android Studio and SDK tools | Android Developers
Liệt kê các thiết bị đang gắn:
Cài app WaTF vào điện thoại ảo, dùng câu lệnh như dưới đây, hoặc như tôi thì thường hay quẳng app thẳng vào cho nhanh.
adb.exe install <ứng dụng muốn cài đặt>
Thực hiện đẩy file frida-server vào điện thoại ảo, kết nối từ adb tới điện thoại ảo qua shell
3. Khai thác WaTF-Bank
3.1. Bypass checkroot
Thực hiện chạy frida với script bypass checkroot
frida -U -f com.WaTF.WaTFBank -l <script_file> --no-paus
Sau khi bypass check root
Nhat Truong Blog 