firebase-apk-scanner
Skanuj aplikacje Android na podatności Firebase – bazy danych, storage, funkcje w chmurze
Instalacja
Wybierz klienta i sklonuj repozytorium do odpowiedniego katalogu skilli.
Instalacja
O skillu
Narzędzie do audytu bezpieczeństwa aplikacji mobilnych. Analizuje pliki APK w poszukiwaniu błędnych konfiguracji Firebase: otwartych baz danych, niezabezpieczonych zasobów storage, problemów z autentykacją i dostępnych Cloud Functions. Przydatne podczas testów penetracyjnych Firebase-backed aplikacji i oceny ryzyka bezpieczeństwa. Wymaga autoryzacji do testowania.
Jak używać
Przygotuj plik APK lub katalog zawierający APK-i, które chcesz przeskanować. Upewnij się, że masz pisemną autoryzację do testowania aplikacji.
Zainstaluj skill firebase-apk-scanner w swoim środowisku Claude/Copilot. Skill wymaga dostępu do narzędzi Bash (apktool, curl), funkcji odczytu plików (Read) i wyszukiwania (Grep).
Wywołaj skill, przekazując ścieżkę do pliku APK lub katalogu jako argument. Na przykład: firebase-apk-scanner /ścieżka/do/aplikacji.apk
Skill automatycznie rozpakuje APK za pomocą apktool, wyodrębni konfiguracje Firebase i przetestuje dostępność baz danych Realtime Database, Firestore, Storage oraz Cloud Functions.
Przeanalizuj raport z wynikami. Zwróć uwagę na: otwarte bazy danych (read: true bez reguł auth), niezabezpieczone buckety storage, anonimową autentykację, które mogą obejść reguły bezpieczeństwa, oraz dostępne Cloud Functions bez wymagań uwierzytelniania.
Dokumentuj wszystkie znalezione podatności z kontekstem – dane wrażliwe (PII, klucze API) mogą być dostępne nawet w zasobach "read-only". Pamiętaj, że anonimowe tokeny mogą uzyskać dostęp do zasobów przeznaczonych dla uwierzytelnionych użytkowników.