DVHMA: una aplicación móvil híbrida vulnerable para practicar

Las aplicaciones móviles híbridas son aquellas que se crean a través de estándares web HTML5, CSS y JavaScript y luego se ejecutan en el smartphone dentro de un contenedor que les permite instalarse y funcionar de manera similar a una aplicación nativa. Normalmente ese contenedor es una aplicación nativa que utiliza WebView, por manejar un símil, como una ventana del navegador sin bordes que generalmente está configurada para ejecutar pantalla completa. Esto les permite acceder a las capacidades del dispositivo, como el acelerómetro, la cámara, los contactos, etc.

Damn Vulnerable Hybrid Mobile App (DVHMA) es una aplicación móvil híbrida (para Android) que contiene vulnerabilidades de forma intencionada. Su propósito es permitir a los profesionales de seguridad probar sus herramientas y técnicas legalmente, ayudar a los desarrolladores a comprender mejor los fallos más comunes en el desarrollo de aplicaciones móviles híbridas de forma segura.

Esta aplicación está desarrollada para estudiar las "trampas" en el desarrollo de aplicaciones híbridas, por ejemplo, utilizando Apache Cordova o SAP Kapsel de forma segura. Actualmente, el enfoque principal es desarrollar una comprensión más profunda de las vulnerabilidades de inyección que explotan el nexo de unión entre JavaScript a Java.

Instalación

Requisitos previos

- Android SDK (https://developer.android.com/sdk/index.html)
- Apache Cordova (https://cordova.apache.org/), versión 6.3.0

* Es conveniente familiarizarse con el sistema de compilación de Apache Cordova.

Construyendo DVHMA

Establecer variables de entorno:

export ANDROID_HOME=(Android SDK Installation Directory)
export PATH=$ANDROID_HOME/tools:$PATH
export PATH=$ANDROID_HOME/platform-tools:$PATH


Compilando DVHMA

cd DVHMA-Featherweight
cordova plugin add ../plugins/DVHMA-Storage
cordova plugin add ../plugins/DVHMA-WebIntent
cordova platform add android
cordova compile android


Ejecutando DVHMA en un emulador

cordova run android

Proyecto Github
: https://github.com/logicalhacking/DVHMA

Comentarios