CÓMO HACER PENTESTING EN APLICACIONES ANDROID (Teoría & Práctica) | ANDROID PENTESTING #1 – OusH4ck

¡Bienvenidos de nuevo! En este video, vamos a adentrarnos en el apasionante
mundo del pentesting en dispositivos Android utilizando una herramienta muy poderosa llamada
Burp Suite. El pentesting, o prueba de penetración, es
un proceso en el cual evaluamos la seguridad de un sistema informático con el fin de identificar
y corregir vulnerabilidades antes de que los atacantes puedan explotarlas. En este caso, nos centraremos específicamente
en la seguridad de las aplicaciones Android y cómo podemos utilizar Burp Suite para llevar
a cabo pruebas exhaustivas. La seguridad de las aplicaciones móviles
es crucial en el mundo actual, donde los dispositivos Android son ampliamente utilizados por millones
de personas. Las aplicaciones móviles almacenan y manejan
datos sensibles, como información personal, contraseñas y datos financieros. Sin embargo, debido a la complejidad de su
desarrollo, a veces pueden presentar vulnerabilidades que los atacantes podrían aprovechar para
obtener acceso no autorizado a los datos del usuario. Es aquí donde entra en juego el pentesting
con Burp Suite. Burp Suite es una suite de herramientas especialmente
diseñada para realizar pruebas de seguridad en aplicaciones web y móviles.

Con su amplio conjunto de funcionalidades,
nos permite interceptar y modificar el tráfico entre la aplicación Android y el servidor,
lo que nos brinda la capacidad de identificar vulnerabilidades y debilidades en la seguridad
de la aplicación. Al utilizar Burp Suite para realizar un pentesting
en una aplicación Android, podemos llevar a cabo acciones como el escaneo de puertos,
el cuki haiyacking, la inyección de datos maliciosos, el análisis de solicitudes y
respuestas, la manipulación de paquetes de red y mucho más. Estas pruebas nos permiten descubrir vulnerabilidades
como la inyección de SQL, la exposición de datos confidenciales, las vulnerabilidades
de autenticación y autorización, entre otras. La importancia de realizar pentesting en aplicaciones
Android con Burp Suite radica en la capacidad de identificar y corregir las vulnerabilidades
antes de que los atacantes las exploten.

Al descubrir y solucionar estos problemas
de seguridad, garantizamos la protección de los datos de los usuarios y la integridad
de las aplicaciones móviles. En resumen, el pentesting con Burp Suite es
una práctica fundamental para asegurar la calidad y la seguridad de las aplicaciones
Android. Al utilizar esta poderosa herramienta, podremos
evaluar la seguridad de las aplicaciones y corregir cualquier vulnerabilidad antes de
que sea aprovechada por los atacantes. Así que ¡prepárate para adentrarte en el
mundo del pentesting Android con Burp Suite! Para empezar, tendrás que instalar Burp Suite. En mi caso, ya lo tengo instalado, así que
solo lo voy a abrir. Una vez abierto, vamos al apartado "proxy"
y agregamos un nuevo proxy que escuche por el puerto 8082, por ejemplo, y elegimos la
opción para todos los adaptadores, es decir, la segunda.

Ahora, simplemente, en el móvil, tenemos
que ir a los ajustes del Wi-Fi, y en la conexión actual, agregamos el proxy configurado anteriormente. Ponemos la IP, el puerto y guardamos. Es crucial instalar el certificado SSL de
Burp Suite para poder interceptar peticiones provenientes de HTTPS. Si no lo hacemos, no podremos hacer casi nada. Es tan fácil como abrir el navegador, poner
http://burp/, y descargar el certificado. Para instalarlo, tenemos que ir a los ajustes,
buscar certificado, darle a la opción "instalar", buscar el archivo y ya está. Para verificar que está instalado, bajamos
como para ver las notificaciones o como se llame, veremos una advertencia pequeña, le
damos y veremos que nos aparece este mensaje. Si es así, significa que el certificado está
instalado de forma correcta. Ahora, vamos a hacer una prueba con una aplicación
modificada de Netflix que tengo, y realizaremos un cuki haiyacking para robar la sesión y
poder acceder a la cuenta de manera sigilosa. Para eso, abriremos la aplicación, interceptaremos
las peticiones y veremos que hay peticiones HTTP de Netflix con cookies.

Las vamos a secuestrar y veremos qué pasa. Ya está, como véis ahora podemos entrar
a un perfil, ver una pelicula o incluso ir a /t v9, y poner un código proporcionado
por tu televisión para poder ver netflix desde este. Seguramente, alguien de ustedes dirá: "¡Ups,
qué sencillo, ¿no?!" Bueno, esto es algo sencillo, pero pueden
hacer lo que deseen. Por ejemplo, abrir un navegador e ir a Instagram
y realizar inyecciones SQL, XSS o lo que se les ocurra. Realmente, se pueden hacer infinidad de cosas,
y esto es solo el principio. Pero vamos a dejarlo aquí por esta vez. Si desean más videos sobre pentesting en
Android, no olviden dejarme un comentario y no dudaré en traerles más contenido potente
sobre este apasionante mundo del pentesting en Android. Bueno, espero que les haya gustado este video,
algo sencillo pero impresionante. Como siempre, nos vemos en el siguiente. ¡Hasta la vista!.

As found on YouTube

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *