#mobile #pentest
Пентест Android: как хакнуть Android и найти уязвимости в приложении различными методами.
— Часть 1
— Часть 2
Пентест Android: как хакнуть Android и найти уязвимости в приложении различными методами.
— Часть 1
— Часть 2
Medium
Android Pentesting 101 — Part 1
Welcome to this new series of Android Pentesting. This series is about how you can hack into Android and find vulnerabilities in it using…
#reverse #mobile #practice
Воркшоп 2019 года по основам реверса Android-приложений.
https://www.ragingrock.com/AndroidAppRE/
Воркшоп 2019 года по основам реверса Android-приложений.
https://www.ragingrock.com/AndroidAppRE/
👍3
#reverse #mobile #hardware #fun
Хотите узнать про безопасность беспроводных сетей, а также реверс iOS-приложений, железа и многого другого? Читайте блог и смотрите канал Jiska Classen. Там и видеогайды, и воркшопы, и выступления с конференций.
Хотите узнать про безопасность беспроводных сетей, а также реверс iOS-приложений, железа и многого другого? Читайте блог и смотрите канал Jiska Classen. Там и видеогайды, и воркшопы, и выступления с конференций.
Blogspot
cat /dev/brain
Wireless and firmware hacking, PhD life, Technology
👍2
iOS_Hacking_Guide.pdf
10.6 MB
#mobile #pentest
Hacking iOS Applications: a detailed testing guide
Книга не самая свежая, но для погружения в тему отлично подойдет.
Hacking iOS Applications: a detailed testing guide
Книга не самая свежая, но для погружения в тему отлично подойдет.
👍3🤔1
#mobile #pentest #bugbounty #practice
Пошаговая настройка лаборатории для анализа безопасности Android-приложений: гайд для начинающего багхантера.
Читать
Пошаговая настройка лаборатории для анализа безопасности Android-приложений: гайд для начинающего багхантера.
Читать
TrustedSec
Set Up an Android Hacking Lab for $0
A virtual Android device with root access has been set up for testing and analysis, enabling the use of Frida and Objection to identify security…
❤4
#mobile #pentest #bugbounty #tools
Хотите анализировать безопасность мобильных приложений, но не знаете с чего начать? Начните с перехвата трафика Android-устройства. Поможет вам в этом простой пошаговый гайд.
Хотите анализировать безопасность мобильных приложений, но не знаете с чего начать? Начните с перехвата трафика Android-устройства. Поможет вам в этом простой пошаговый гайд.
🔥3
Эволюция уязвимостей в приложениях для Android: как эволюционировали уязвимости мобильных приложений, что на это влияло, какие уязвимости актуальны сейчас и какие ждут нас в будущем.
Читать
#mobile #pentest
Читать
#mobile #pentest
(не)Уникальный опыт
Эволюция уязвимостей в приложениях для Android
История развития приложений для Android прошла несколько заметных этапов: небольшие приложения, работающие локально,
клиент-серверные приложения, экосистемы приложений и суперапы (super-app). Каждый …
клиент-серверные приложения, экосистемы приложений и суперапы (super-app). Каждый …
👍3🥱1
Введение в разрешения в Android: что это такое, как с ними работать, а главное, какие ошибки могут возникнуть и как их не допустить.
Читать
#mobile #pentest #bugbounty
Читать
#mobile #pentest #bugbounty
Хабр
Permissions в Android: как не допустить ошибок при разработке
Всем привет! На связи Юрий Шабалин, ведущий архитектор Swordfish Security и генеральный директор Стингрей Технолоджиз. Эта статья написана в соавторстве с Android-разработчиком Веселиной Зацепиной (...
❤2👍1
Вы знаете, что некоторые багбаунти программы предполагают анализ мобильных приложений. Для нас это своего рода находка, ведь в мобилках можно найти интересные баги, если с вебом уже все перепробовано.
Чтобы быть в теме — придется многое изучить — и у нас для вас кое-что есть. Это подборка книг, гайдов и курсов по анализу и безопасности мобильных приложений от Юрия Шабалина:
📌Android Books
• Android Application Pentest Guide (AAPG)
• Android Forensics
• Android binder
• Android Task Hijacking
• Android Hacker's Handbook
• Android Malware and Analysis
• Android Apps Security
• Android Security Attacks and Defenses
• Android Security Internals
• Application Security for the Android Platform
• Android Application Secure Design/Secure Coding Guidebook
• Decompiling Android
• Deep Dive into Android Binder IPC
• DEF CON 24 Workshop Dinesh Shetty Practical Android Application
• Embedded Android
• Kotlin secure coding practices
• Learning Android Forensics
📌Hacking Android
• XDAs Android Hackers Toolkit
• Xaker-254
• Яндекс — как общаются Android приложения
• Broken Fingers — On the Usage of the Fingerprint API in Android
• What can you do to an apk without its private key except repacking
• WhatsApp Forensics: Decryption of Encrypted WhatsApp Databases
• Huawei Mate 9 Pro (LON AL00) PWN2OWN
• Android Internals — A Confectioner's Cookbook (Volume I)
📌Android Courses
• Android Part — Mobile Application Security and Penetration Testing v2
• AndroidHackingCourse
• Penetration Testing Apps for Android Devices
📌iOS Books
• Apple Security Sandbox
• iOS App Reverse Engineering
• IOS FORENSICS COOKBOOK
• IOS Hackers Handbook
• Mac OS X and iOS Internals (1-е издание)
• Mobile App Hackers Handbook
• Hacking and Securing IOS Applications
• Recreating an iOS 0day Jailbreak Out of Apple’s Security Updates
• Revisiting iOS Kernel (In)Security: Attacking the early random() PRNG
• Demystifying The Secure Enclave Processor
📌iOS Courses
• iOS Part — Mobile Application Security and Penetration Testing v2
📌Книги, включающие в себя и Android и iOS, либо нечто общее про безопасность мобилок
• MASTERING MOBILE FORENSICS
• Mobile App Hackers Handbook
• MOBILE FORENSICS ADVANCED
• INVESTIGATIVE STRATEGIES
• DSEC — Анализ безопасности мобильных банковских приложений
• DSEC — Анализ безопасности мобильных банковских приложений 2012
• DSEC — SCADA и мобильники — оценка безопасности приложений, превращающих смартфон в пульт управления заводом
• Secure mobile development best practices
• OWASP Mobile App Security Checklist
• OWASP Mobile AppSec Verification Standard
• OWASP mobile security testing guide
📌Смешанные курсы
• Mobile Application Security and Penetration Testing v1
#mobile
Чтобы быть в теме — придется многое изучить — и у нас для вас кое-что есть. Это подборка книг, гайдов и курсов по анализу и безопасности мобильных приложений от Юрия Шабалина:
📌Android Books
• Android Application Pentest Guide (AAPG)
• Android Forensics
• Android binder
• Android Task Hijacking
• Android Hacker's Handbook
• Android Malware and Analysis
• Android Apps Security
• Android Security Attacks and Defenses
• Android Security Internals
• Application Security for the Android Platform
• Android Application Secure Design/Secure Coding Guidebook
• Decompiling Android
• Deep Dive into Android Binder IPC
• DEF CON 24 Workshop Dinesh Shetty Practical Android Application
• Embedded Android
• Kotlin secure coding practices
• Learning Android Forensics
📌Hacking Android
• XDAs Android Hackers Toolkit
• Xaker-254
• Яндекс — как общаются Android приложения
• Broken Fingers — On the Usage of the Fingerprint API in Android
• What can you do to an apk without its private key except repacking
• WhatsApp Forensics: Decryption of Encrypted WhatsApp Databases
• Huawei Mate 9 Pro (LON AL00) PWN2OWN
• Android Internals — A Confectioner's Cookbook (Volume I)
📌Android Courses
• Android Part — Mobile Application Security and Penetration Testing v2
• AndroidHackingCourse
• Penetration Testing Apps for Android Devices
📌iOS Books
• Apple Security Sandbox
• iOS App Reverse Engineering
• IOS FORENSICS COOKBOOK
• IOS Hackers Handbook
• Mac OS X and iOS Internals (1-е издание)
• Mobile App Hackers Handbook
• Hacking and Securing IOS Applications
• Recreating an iOS 0day Jailbreak Out of Apple’s Security Updates
• Revisiting iOS Kernel (In)Security: Attacking the early random() PRNG
• Demystifying The Secure Enclave Processor
📌iOS Courses
• iOS Part — Mobile Application Security and Penetration Testing v2
📌Книги, включающие в себя и Android и iOS, либо нечто общее про безопасность мобилок
• MASTERING MOBILE FORENSICS
• Mobile App Hackers Handbook
• MOBILE FORENSICS ADVANCED
• INVESTIGATIVE STRATEGIES
• DSEC — Анализ безопасности мобильных банковских приложений
• DSEC — Анализ безопасности мобильных банковских приложений 2012
• DSEC — SCADA и мобильники — оценка безопасности приложений, превращающих смартфон в пульт управления заводом
• Secure mobile development best practices
• OWASP Mobile App Security Checklist
• OWASP Mobile AppSec Verification Standard
• OWASP mobile security testing guide
📌Смешанные курсы
• Mobile Application Security and Penetration Testing v1
#mobile
👍5🤩1
🔍Честно сказать, многие попросту упускают из виду эту возможность. Мы на канале часто упоминаем тему #mobile, поэтому не стесняйтесь искать и погружаться.
📌А сегодня затронем тему контент-провайдеров (Content Providers) в Android. Это фундаментальный компонент, широко используемый для обмена данными между различными приложениями.
🔐Часто они предоставляют доступ к конфиденциальному контенту, но из-за распространенных ошибок в реализации и механизмах защиты они подвержены различным уязвимостям.
👉В статье как раз рассмотрены наиболее распространенные проблемы в их работе и потенциальные методы их использования.
❓Хотите погрузиться в безопасность мобилок подробнее? Посмотрите или послушайте интервью Сергея Тошина aka BagiPro (топ-1 мобильный хакер) с ребятами из подкаста criticalthinking.
#pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
News, Techniques & Guides
Content Providers and the potential weak spots they can have
Before we jump into the details, we want to stress how important it is to keep your users' data safe.
👍5
🏦 Payment Village на StandOff 11: разбор задания на взлом мобильного приложения вымышленного банка
Егор Филатов, младший аналитик отдела анализа защищенности Angara Security, рассказывает про реализацию двух недопустимых событий: вывод денег с украденных банковских карт и мошенничество с карточным процессингом.
👉 Читать
#mobile #ctf #writeup
Егор Филатов, младший аналитик отдела анализа защищенности Angara Security, рассказывает про реализацию двух недопустимых событий: вывод денег с украденных банковских карт и мошенничество с карточным процессингом.
👉 Читать
#mobile #ctf #writeup
🔥3
⚡️Релизнулся OWASP Mobile Top Ten 2023
☑️M1: Improper Credential Usage
☑️M2: Inadequate Supply Chain Security
☑️M3: Insecure Authentication/Authorization
☑️M4: Insufficient Input/Output Validation
☑️M5: Insecure Communication
☑️M6: Inadequate Privacy Controls
☑️M7: Insufficient Binary Protections
☑️M8: Security Misconfiguration
☑️M9: Insecure Data Storage
☑️M10: Insufficient Cryptography
Интересуетесь безопасностью мобильных приложений? Тогда читайте объяснение всех пунктов на русском.
#mobile
☑️M1: Improper Credential Usage
☑️M2: Inadequate Supply Chain Security
☑️M3: Insecure Authentication/Authorization
☑️M4: Insufficient Input/Output Validation
☑️M5: Insecure Communication
☑️M6: Inadequate Privacy Controls
☑️M7: Insufficient Binary Protections
☑️M8: Security Misconfiguration
☑️M9: Insecure Data Storage
☑️M10: Insufficient Cryptography
Интересуетесь безопасностью мобильных приложений? Тогда читайте объяснение всех пунктов на русском.
#mobile
⚡5👍5
🤔 Как на самом деле магазины приложений проверяют мобильные приложения на уязвимости перед публикацией?
📲 Увлекаетесь безопасностью мобилок? Если еще нет, то в эту сторону однозначно стоит посмотреть, ведь в багбаунти программах многих вендоров есть и мобильные приложения.
👾 Но сегодня не про это, а про дырявое приложение от Swordfish Security, которое было представлено на CTF OFFZONE 2023.
👉 Узнайте подробнее, как багхантеры его ломали и как магазины приложений реагировали на попытку его публикации.
#mobile #pentest
📲 Увлекаетесь безопасностью мобилок? Если еще нет, то в эту сторону однозначно стоит посмотреть, ведь в багбаунти программах многих вендоров есть и мобильные приложения.
👾 Но сегодня не про это, а про дырявое приложение от Swordfish Security, которое было представлено на CTF OFFZONE 2023.
👉 Узнайте подробнее, как багхантеры его ломали и как магазины приложений реагировали на попытку его публикации.
#mobile #pentest
Хабр
Разрушители легенд: Как на самом деле магазины проверяют приложения на уязвимости
Intro Всем привет! Снова с вами Юрий Шабалин. Уже много лет я занимаюсь безопасностью мобильных приложений и в своих исследованиях доношу важность этого направления для бизнеса. В одной из прошлых...
👍5❤1
A_step_by_step_Android_penetration_testing_guide_for_beginners.pdf
6.2 MB
🧰 Пентест Android-приложений: пошаговый гайд для начинающего этичного хакера
Базовый пентест мобильного приложения под Android включает статический и динамический анализ:
☑️ Исходного кода
☑️ Бинарных файлов
☑️ Сетевого трафика
👉 Читайте на Medium или в PDF
#pentest #mobile #bugbounty
Базовый пентест мобильного приложения под Android включает статический и динамический анализ:
☑️ Исходного кода
☑️ Бинарных файлов
☑️ Сетевого трафика
👉 Читайте на Medium или в PDF
#pentest #mobile #bugbounty
🔥3👍2⚡1
Автор описал минимальный набор навыков и подкрепил источниками, где эти знания и навыки можно получить:
☑️ Программирование: Java, Kotlin
☑️ Архитектурные топики: MVP/MVVM, Dependecy Injection, шаблоны проектирования
☑️ Android: основные компоненты приложений, библиотеки JetPack, Dalvik/ART, Android Debug Bridge
☑️ Инструменты: декомпилятор (jadx, jeb, procyon, etc…), дизассемблер (ghidra, idapro), Frida (+frida based утилиты вроде
objection), Magisk, Android Studio, apktool#mobile
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
android_encryption.pdf
8.8 MB
Большая работа, посвященная типам шифрования, используемым в процессе работы ОС Android, и способам атаки на них.
👉 Читать в блоге
#mobile
👉 Читать в блоге
#mobile