#mobile #android
Действительно годный гайд по анализу защищенности мобильных приложений Android: https://nightowl131.github.io/AAPG/
Для себя что-то новое, что и как стоит искать.
Действительно годный гайд по анализу защищенности мобильных приложений Android: https://nightowl131.github.io/AAPG/
Для себя что-то новое, что и как стоит искать.
Надо же как, именно сегодня эта возможность пригодилась. Всем советую держать в голове, что так можно.
Forwarded from [MIS]ter & [MIS]sis Team
Заметки на полях
Довольно часто в Burp Suite требуется профазить какой-либо заенкоженный параметр, например, поле username в basic authorization, или значение userid внутри заенкоженного параметра cookie. Например, session=eyJhdXRoIjp7InVzZXJpZCI6ImFkbWluIiwidXNlcnRva2VuIjoiMTIzNDUifX0= ( {"auth":{"userid":"admin","usertoken":"12345"}} ).
В таком случае из стандартных средств нам подойдёт только Burp Intruder. Однако тогда не получится использовать Active Scan и дополнительные экстеншны, а устраивать танцы с бубнами вокруг составления итогового payload с последующим енкодингом - потраченное время и никакого удовольствия.
Но нас может выручить полезный экстеншн - Python Scripter. После его подключения появляется отдельная вкладка - Script, куда мы можем вписать свои скрипт для питона. Таким образом алгоритм работы следующий: декодим нужную cookie в Repeater или Intruder, устанавливаем место для фазинга (через scan manual insertion points или спец символ в Intruder), а во вкладке Script - пишем скрипт по енкодингу в base64. После этого - отправляем запрос на активное сканирование.
Для енкодинга нужных параметров мы используем следующие скрипты (https://github.com/mis-team/burpscripts):
1. В скрипте param-replacer.py необходимо указать:
- header и/или GET/POST параметр, который необходимо енкодить,
- функции енкодинга: processHeader, processParam (в скрипте написан base64)
- место, куда вставлять заенкоженный параметр (GET, POST, COOKIE).
2. Скрипт fuzz-replacer.py - альтернативный и более удобный вариант. Теперь наоборот - место енкодинга в запросе необходимо "обернуть" в FUZZ (как в знаменитом web фазере), а скрипт уже распознает его и сделает все сам.
Довольно часто в Burp Suite требуется профазить какой-либо заенкоженный параметр, например, поле username в basic authorization, или значение userid внутри заенкоженного параметра cookie. Например, session=eyJhdXRoIjp7InVzZXJpZCI6ImFkbWluIiwidXNlcnRva2VuIjoiMTIzNDUifX0= ( {"auth":{"userid":"admin","usertoken":"12345"}} ).
В таком случае из стандартных средств нам подойдёт только Burp Intruder. Однако тогда не получится использовать Active Scan и дополнительные экстеншны, а устраивать танцы с бубнами вокруг составления итогового payload с последующим енкодингом - потраченное время и никакого удовольствия.
Но нас может выручить полезный экстеншн - Python Scripter. После его подключения появляется отдельная вкладка - Script, куда мы можем вписать свои скрипт для питона. Таким образом алгоритм работы следующий: декодим нужную cookie в Repeater или Intruder, устанавливаем место для фазинга (через scan manual insertion points или спец символ в Intruder), а во вкладке Script - пишем скрипт по енкодингу в base64. После этого - отправляем запрос на активное сканирование.
Для енкодинга нужных параметров мы используем следующие скрипты (https://github.com/mis-team/burpscripts):
1. В скрипте param-replacer.py необходимо указать:
- header и/или GET/POST параметр, который необходимо енкодить,
- функции енкодинга: processHeader, processParam (в скрипте написан base64)
- место, куда вставлять заенкоженный параметр (GET, POST, COOKIE).
2. Скрипт fuzz-replacer.py - альтернативный и более удобный вариант. Теперь наоборот - место енкодинга в запросе необходимо "обернуть" в FUZZ (как в знаменитом web фазере), а скрипт уже распознает его и сделает все сам.
GitHub
GitHub - mis-team/burpscripts: Scripts for burp scripter
Scripts for burp scripter. Contribute to mis-team/burpscripts development by creating an account on GitHub.
Команда Информзащиты, и в частности несколько моих друзей, едут в Абу-Даби (ОАЭ), чтобы поучаствовать в HITB Cyberweek CTF, где поборются за приз в 100 000 долларов США.
Поэтому случаю они создали канал, где можно будет посмотреть за происходящим. Надеюсь события будут описываться максимально красочно и подробно)
Поэтому случаю они создали канал, где можно будет посмотреть за происходящим. Надеюсь события будут описываться максимально красочно и подробно)
Forwarded from True0xA3 Team
О чем речь?
В мае этого года на PHDays 9 Рома Алферов выиграл STANDOFF. Т. к. он работает в ИЗшечке, то победила команда True0xA3.
Главным призом были деньги, вечная слава и поездка на CTF в формате Attack-Deffence (это не точно).
И вы бы никогда не увидели этот канал, если поездка не была бы в Абу-Даби (ОАЭ) и мы не играми против самых топовых команд мира:
- PPP
- saarsec
- Bushwhackers
- True0xA3
- Dragon Sector
- LC↯BC
- etc
В этом канале я буду публиковать новости, личное мнение и фоточки))
В мае этого года на PHDays 9 Рома Алферов выиграл STANDOFF. Т. к. он работает в ИЗшечке, то победила команда True0xA3.
Главным призом были деньги, вечная слава и поездка на CTF в формате Attack-Deffence (это не точно).
И вы бы никогда не увидели этот канал, если поездка не была бы в Абу-Даби (ОАЭ) и мы не играми против самых топовых команд мира:
- PPP
- saarsec
- Bushwhackers
- True0xA3
- Dragon Sector
- LC↯BC
- etc
В этом канале я буду публиковать новости, личное мнение и фоточки))
#workshop
В HackerU (У станции метро Тульская) пройдет воркшоп на тему “Разработка Android-приложения с помощью Kotlin”.
Разрботка на котлин не самое веселое занятие, а вот описание очень привлекло “На воркшопе поговорим о том, что нового привнес Kotlin в мобильную разработку, и напишем приложение для анализа Wi-Fi сетей.”
Кому интересно, сюда:
https://hackeru.timepad.ru/event/1095706/
В HackerU (У станции метро Тульская) пройдет воркшоп на тему “Разработка Android-приложения с помощью Kotlin”.
Разрботка на котлин не самое веселое занятие, а вот описание очень привлекло “На воркшопе поговорим о том, что нового привнес Kotlin в мобильную разработку, и напишем приложение для анализа Wi-Fi сетей.”
Кому интересно, сюда:
https://hackeru.timepad.ru/event/1095706/
#news
Бизоны открыли свой канальчик: https://t.me/bizone_channel
Подписываемся, ставим лайки, жмем на колокольчик!
Бизоны открыли свой канальчик: https://t.me/bizone_channel
Подписываемся, ставим лайки, жмем на колокольчик!
Telegram
BI.ZONE
Компания по управлению цифровыми рисками
Мы помогаем организациям по всему миру безопасно развивать бизнес в цифровую эпоху
Регистрация в РКН: https://www.gosuslugi.ru/snet/692986a779f7e53c3a54b508
Сайт: https://bi.zone
BI.ZONE Bug Bounty: @bizone_bb
Мы помогаем организациям по всему миру безопасно развивать бизнес в цифровую эпоху
Регистрация в РКН: https://www.gosuslugi.ru/snet/692986a779f7e53c3a54b508
Сайт: https://bi.zone
BI.ZONE Bug Bounty: @bizone_bb
#zeronights
12го ноября в Питере пройдёт частая
хакерская вечеринка в крутом баре. Будет CTF, конкурсы, общение, бесплатные напитки.
Подробности тут: http://getshell.bar
12го ноября в Питере пройдёт частая
хакерская вечеринка в крутом баре. Будет CTF, конкурсы, общение, бесплатные напитки.
Подробности тут: http://getshell.bar
#android #sec
В общем. Я постоянно теряюсь, что проверять при анализе защищенности Android приложения. Постоянно боюсь что-то забыть. OWASP MSTG слишком большой, чтобы его листать на каждое приложение и вычитывать.
Решил запилить для себя чеклист.(Он пока сырой, буду активно дописывать по мере проверок мобилок)
Главный принцип в нем (Который я выработал для себя, вам он конечно же может быть не удобен) - это делать проверки похожих\рядом лежащих вещей максимально близко друг к другу.
Т.е. я обычно сначала открывают AndroidManifest и начинаю смотреть че там есть. Значит тут сразу смотрим бэкап дебаг, и тд. Потом секреты, потом идем в логи и прочее.
Соответственно, я расположил проверки так, как сам по ним иду. Может кто-то что-то подглядит, может кто-то возьмется это юзать (Упаси боже твою душу грешную).
Сам чек-лист тут: https://github.com/empty-jack/YAASC
В общем. Я постоянно теряюсь, что проверять при анализе защищенности Android приложения. Постоянно боюсь что-то забыть. OWASP MSTG слишком большой, чтобы его листать на каждое приложение и вычитывать.
Решил запилить для себя чеклист.(Он пока сырой, буду активно дописывать по мере проверок мобилок)
Главный принцип в нем (Который я выработал для себя, вам он конечно же может быть не удобен) - это делать проверки похожих\рядом лежащих вещей максимально близко друг к другу.
Т.е. я обычно сначала открывают AndroidManifest и начинаю смотреть че там есть. Значит тут сразу смотрим бэкап дебаг, и тд. Потом секреты, потом идем в логи и прочее.
Соответственно, я расположил проверки так, как сам по ним иду. Может кто-то что-то подглядит, может кто-то возьмется это юзать (Упаси боже твою душу грешную).
Сам чек-лист тут: https://github.com/empty-jack/YAASC
GitHub
GitHub - empty-jack/YAASC: A list of checks with tips for analyzing the security of Android applications
A list of checks with tips for analyzing the security of Android applications - GitHub - empty-jack/YAASC: A list of checks with tips for analyzing the security of Android applications
#ctf #python #file_read
После прошедшего ASISCTF собрал словарик с распространенными в Python фреймворках файлами.
https://github.com/empty-jack/YAWR/blob/master/files_and_directories/python-frameworks.txt
Вдрег кому-нибудь, когда нибудь пригодится.
После прошедшего ASISCTF собрал словарик с распространенными в Python фреймворках файлами.
https://github.com/empty-jack/YAWR/blob/master/files_and_directories/python-frameworks.txt
Вдрег кому-нибудь, когда нибудь пригодится.
#ctf #web #misc
В поисках годноты по SSRF вспомнил про репозиторий, которым стоило бы поделиться.
Взялся даже перечитать некоторые статьи.
Repo: https://ctf-wiki.github.io/ctf-wiki/
В поисках годноты по SSRF вспомнил про репозиторий, которым стоило бы поделиться.
Взялся даже перечитать некоторые статьи.
Repo: https://ctf-wiki.github.io/ctf-wiki/
ctf-wiki.org
简介 - CTF Wiki
Forwarded from Cybershit
This media is not supported in your browser
VIEW IN TELEGRAM
GitHub прям врывается в безопасность открытого ПО, и вот почему:
1. В сентябре компания получила статус CNA (CVE Numbering Authority), что позволяет ей выпускать идентификаторы CVE для библиотек и продуктов, размещенных на GitHub.
2. На прошлой неделе они анонсировали собственную базу CVE под названием GitHub Advisory Database.
3. Сделали возможность подачу заявок на CVE из интерфейса GitHub с последующим оповещением всех затронутых проектов.
4. Теперь в течении нескольких секунд после коммита GitHub сканирует ваш код на наличие в нем токенов различных облачных провайдеров, а в случае совпадения уведомляет.
5. Теперь помимо уведомления об уязвимых зависимостях в коде, GitHub автоматически создает pull request на их исправление.
Ну не лапочки?
Подробнее о последнем апдейте: https://github.blog/2019-11-14-announcing-github-security-lab-securing-the-worlds-code-together/
1. В сентябре компания получила статус CNA (CVE Numbering Authority), что позволяет ей выпускать идентификаторы CVE для библиотек и продуктов, размещенных на GitHub.
2. На прошлой неделе они анонсировали собственную базу CVE под названием GitHub Advisory Database.
3. Сделали возможность подачу заявок на CVE из интерфейса GitHub с последующим оповещением всех затронутых проектов.
4. Теперь в течении нескольких секунд после коммита GitHub сканирует ваш код на наличие в нем токенов различных облачных провайдеров, а в случае совпадения уведомляет.
5. Теперь помимо уведомления об уязвимых зависимостях в коде, GitHub автоматически создает pull request на их исправление.
Ну не лапочки?
Подробнее о последнем апдейте: https://github.blog/2019-11-14-announcing-github-security-lab-securing-the-worlds-code-together/
Forwarded from OFFZONE
⚡️На старт, внимание, марш! Объявляем соревнования CTFZone открытыми. Более 700 команд поборются за выход в финал, который состоится на OFFZONE 2020.
Актуальная стата - https://ctf.bi.zone/scoreboard
Техподдержка - https://t.me/ctfzone2019
Желаем удачи!
Актуальная стата - https://ctf.bi.zone/scoreboard
Техподдержка - https://t.me/ctfzone2019
Желаем удачи!
Не пропустите OWASP Meetup Russia!
https://www.meetup.com/ru-RU/OWASP-Moscow/events/266925142/?rv=ea1_v2&_xtd=gatlbWFpbF9jbGlja9oAJGM1MTJjZmU4LTJlYTgtNGI0OS05MzZiLTI0YWUyMTc1MDExNA
https://www.meetup.com/ru-RU/OWASP-Moscow/events/266925142/?rv=ea1_v2&_xtd=gatlbWFpbF9jbGlja9oAJGM1MTJjZmU4LTJlYTgtNGI0OS05MzZiLTI0YWUyMTc1MDExNA
Meetup
Login to Meetup | Meetup
Not a Meetup member yet? Log in and find groups that host online or in person events and meet people in your local community who share your interests.