मोबाइल सुरक्षा - पेन परीक्षण
इस अध्याय में, हम मोबाइल फोन के प्रवेश परीक्षण की बुनियादी अवधारणाओं पर चर्चा करेंगे। जैसा कि आप देखेंगे, यह ओएस पर आधारित है।
Android फोन पेन परीक्षण
Android OS फ़ोन में मूल चरण निम्न हैं -
Step 1 - OS और ऐप्स तक प्रशासनिक पहुँच प्राप्त करने के लिए SuperOneClick, सुपरबूट, यूनिवर्सल एंड्रॉइड और अनरेव्ड जैसे टूल की मदद से OS को रूट करें।
Step 2- Apps या OS का तनाव परीक्षण करने के लिए DoS अटैक करें, जिसे AnDOSid के साथ किया जा सकता है। इससे डाउनलोड किया जा सकता हैhttps://github.com/Scott-Herbert/AnDOSid
Step 3- वेब ब्राउज़र में कमजोरियों के लिए जाँच करें। मुख्य रूप से जांचें कि एंड्रॉइड ब्राउज़र में क्रॉस-एप्लिकेशन स्क्रिप्टिंग त्रुटि मौजूद है या नहीं।
Step 4- कमजोरियों के लिए SQLite की जांच करें मुख्य रूप से इसका उद्देश्य किसी भी संवेदनशील जानकारी की जांच करना है, अगर यह एक एन्क्रिप्टेड रूप में है (जैसे पासवर्ड, संपर्क, डेटाबेस लिंक, आदि)। इसके लिए उपयोग किए जाने वाले सबसे अच्छे साधनों में से एक है स्क्वैलामप जो काली वितरण में पाया जाता है।
Step 5- उपयोगकर्ताओं की जानकारी को बदलने, चोरी करने, बदलने की कोशिश करें। इसे डाउनलोड किया जा सकता हैhttps://play.google.com/store/apps/details?id=com.powerapp.studios.ComDroid
Step 6 - वुडपेकर उपकरण का उपयोग करके Android उपकरणों में क्षमता रिसाव का पता लगाएं।
iPhone पेन परीक्षण
Step 1 - Redsn0w, Absinthe, Sn0wbreeze और PwnageTool जैसे टूल का उपयोग करके iPhone को जेलब्रेक करने का प्रयास करें।
Step 2- iPhone को अनलॉक करने का प्रयास करें। IPhone का उपयोग करने के लिए iPhoneSimFree जैसे टूल को अनलॉक किया जा सकता हैhttp://www.iphonesimfree.com और anySIM
Step 3- पासकोड को बायपास करने के लिए स्मार्टकवर का उपयोग करें जिसके लिए आपको इन चरणों का पालन करने की आवश्यकता है: जब तक संदेश बंद न हो जाए, तब तक iOS ऑपरेटिंग डिवाइस के पावर बटन को दबाए रखें। स्क्रीन बंद होने तक स्मार्ट कवर को बंद करें और कुछ सेकंड के बाद स्मार्ट कवर को खोलें। पासवर्ड कोड सुरक्षा को बायपास करने के लिए रद्द बटन दबाएं।
Step 4- Metasploit का उपयोग करके हैक iPhone, जो काली वितरण में शामिल है। IPhone में कमजोरियों का फायदा उठाने के लिए मेटास्प्लोइट टूल का उपयोग करें, जो आपको मिली कमजोरियों के आधार पर।
जैसा कि Metasploit एक Rapit7 कंपनी का उत्पाद है, आगे के विवरण यहां देखे जा सकते हैं https://community.rapid7.com/community/metasploit/blog/2007/10/21/cracking-the-iphone-part-3।
Step 5 - समान नाम और एन्क्रिप्शन प्रकार के साथ पहुंच बिंदु की जांच करें।
Step 6- वाई-फाई नेटवर्क पर iOS डिवाइस के वायरलेस मापदंडों को इंटरसेप्ट करके एक मध्य-मध्य / SSL स्ट्रिपिंग हमला करें। कैन और एबेल उपकरण या यहां तक कि विंडशार्क का उपयोग करके वाई-फाई नेटवर्क पर दुर्भावनापूर्ण पैकेट भेजें।
Step 7- जांचें कि विकृत डेटा डिवाइस पर भेजा जा सकता है या नहीं। सोशल इंजीनियरिंग तकनीकों का उपयोग करें जैसे कि उपयोगकर्ता को लिंक करने के लिए ईमेल या एसएमएस भेजना जो लिंक को दुर्भावनापूर्ण वेब पेजों को खोलते हैं।
विंडोज फोन पेन परीक्षण
निम्नलिखित विंडोज फोन पेन परीक्षण के लिए कदम हैं।
Step 1- एसएमएस भेजकर फोन बंद करने की कोशिश करें। फोन पर एक एसएमएस भेजें, जो मोबाइल को बंद कर देता है और इसे फिर से रीबूट करता है।
Step 2- विंडोज फोन को जेलब्रेक करने की कोशिश करें। विंडोज फोन को जेलब्रेक / अनलॉक करने के लिए विंडोब्रेक प्रोग्राम का उपयोग करें। आप इस टूल के बारे में अधिक जानकारी लिंक में प्राप्त कर सकते हैंhttp://windowsphonehacker.com/articles/the_windowbreak_project-12-23-11
Step 3- डिवाइस पर एन्क्रिप्शन के लिए जाँच करें। जांचें कि फोन पर डेटा पासवर्ड या पिन के बिना एक्सेस किया जा सकता है या नहीं।
Step 4- विंडोज फोन इंटरनेट एक्सप्लोरर में भेद्यता की जांच करें। जांचें कि इंटरनेट एक्सप्लोरर में सीएसएस फ़ंक्शन में दोष हमलावरों को दूरस्थ कोड निष्पादन के माध्यम से फोन पर पूर्ण पहुंच प्राप्त करने की अनुमति देता है।
ब्लैकबेरी पेन परीक्षण
Step 1- सबसे पहले, आप ब्लैकबेरी पर एक ब्लैकजैकिंग करते हैं। BlackBerry कनेक्शन को हाईजैक करने के लिए BBProxy टूल का उपयोग करें जो इंटरनेट पर पाया जा सकता है।
Step 2- आवेदन कोड हस्ताक्षर प्रक्रिया में खामियों के लिए जाँच करें। प्रीपेड क्रेडिट कार्ड और झूठे विवरण का उपयोग करके कोड-साइनिंग कुंजी प्राप्त करें, एक दुर्भावनापूर्ण एप्लिकेशन पर हस्ताक्षर करें, और इसे ब्लैकबेरी ऐप की दुनिया पर प्रकाशित करें।
Step 3- एक ईमेल शोषण करें। एक दुर्भावनापूर्ण डाउनलोड करने के लिए उपयोगकर्ता को धोखा देने के लिए एक ईमेल या संदेश भेजें.cod ब्लैकबेरी डिवाइस पर आवेदन फ़ाइल।
Step 4- DoS अटैक करें। विकृत नेटवर्क रूटिंग प्रोटोकॉल (SRP) पैकेट को BlackBerry नेटवर्क से रूटर पर DoS हमले के कारण भेजने का प्रयास करें। पिछले अध्यायों में कुछ उपकरणों का उल्लेख किया गया था।
Step 5- ब्लैकबेरी ब्राउज़र में कमजोरियों के लिए जाँच करें। दुर्भावनापूर्ण रूप से तैयार किए गए वेब लिंक भेजें और उपयोगकर्ताओं को BlackBerry डिवाइस पर दुर्भावनापूर्ण वेब पेज वाले लिंक खोलने के लिए ट्रिक करें।
Step 6- पासवर्ड प्रोटेक्टेड फाइल्स की खोज करें। Elcomsoft फोन पासवर्ड ब्रेकर जैसे उपकरणों का उपयोग करें जो ब्लैकबेरी उपकरणों से पासवर्ड संरक्षित फ़ाइलों और बैकअप को पुनर्प्राप्त कर सकते हैं।
मोबाइल पेन परीक्षण टूलकिट
zANTI
zANTI एक मोबाइल पैठ परीक्षण टूलकिट है जो आईटी सुरक्षा प्रबंधकों और पेंटेस्टर्स को जटिल सुरक्षा ऑडिट करने में सक्षम बनाता है। यह उपयोगकर्ता के अनुकूल मोबाइल ऐप के माध्यम से संगठन के नेटवर्क में उन्नत हैकर्स की क्षमताओं का अनुकरण करता है। इसके दो संस्करण हैं - समुदाय के लिए मुफ्त और कॉर्पोरेट्स के लिए वाणिज्यिक। इससे डाउनलोड किया जा सकता हैhttps://www.zimperium.com/zanti-mobile-penetration-testing
यह भी खुला प्रमाणीकरण, पिछले दरवाजे, और जानवर बल के हमलों, DNS और प्रोटोकॉल-विशिष्ट हमलों, और पूर्ण अनुकूलन योग्य नेटवर्क टोही स्कैन की एक व्यापक रेंज का उपयोग करके दुष्ट पहुंच बिंदुओं को खोजकर नेटवर्क को स्कैन करता है।
मैन, इन-द-मिडिल (MITM), पासवर्ड क्रैकिंग और मेटस्प्लोइट सहित प्रवेश परीक्षणों के एक मेजबान का उपयोग करके मोबाइल उपकरणों या वेब साइटों के भीतर कमजोरियों का स्वचालित रूप से निदान करें।
dSploit
dSploit Android ऑपरेटिंग सिस्टम के लिए विकसित एक पैठ परीक्षण उपकरण है। इसमें कई मॉड्यूल शामिल हैं जो वायरलेस नेटवर्क पर नेटवर्क सुरक्षा आकलन करने में सक्षम हैं।
dSploit आपको नेटवर्क मैपिंग, भेद्यता स्कैनिंग, पासवर्ड क्रैकिंग, मैन-इन-द-मिडिल हमलों और कई अन्य कार्यों को करने की अनुमति देता है। अधिक जानकारी पर पाया जा सकता हैhttps://github.com/evilsocket और से डाउनलोड किया जा सकता है https://sourceforge.net/projects/dsploit999/?source=directory
Hackode (हैकर टूलबॉक्स)
Hackode एक और Android पैठ परीक्षण अनुप्रयोग है, जो विभिन्न विशेषताएं प्रदान करता है जैसे: टोही, Google हैकिंग, Google Dorks, Whois, Scanning, Ping। Traceroute, DNS लुकअप, IP, MX रिकॉर्ड्स, DNS Dig एक्सप्लॉइट्स, सिक्योरिटी RSS फीड। इससे डाउनलोड किया जा सकता हैhttps://play.google.com/store/apps/details?id=com.techfond.hackode