Подборка материалов по мобильной безопасности «Awesome Mobile Security»
Всем привет!
В очередной раз, пока искал в истории канала какую-то ссылку на видео, решил что пора заканчивать с таким неблагородным делом и оформлять все материалы, которые скопились в представительный вид.
Из этого вылилось два репозитория на гитхабе с подборками всех материалов, которые были в канале, разбитые по логическим группам. Еще немного покопался в закромах и выудил ссылки на различные CTF и WriteUp по ним для Android. Получились достаточно интересные подборки. Подробнее посмотреть, что вышло можно в статье на Хабр (ну а куда без него).
Основная проблема всех таких репозиториев, что про них забывают и забивают и через месяц они становятся абсолютно неактуальными) Мне бы хотелось такого избежать, поэтому весь контент, что будет появляться в канале в конце недели я буду переносить в репозитории, а потом делать небольшой "дайджест" на Хабр по новостям текущей недели (посмотрим, зайдет ли такой формат).
Всем хорошей недели и приятного чтения, надеюсь, вы найдете для себя что-то новое в материалах.
#Habr #News #Awesome #Android #iOS
Всем привет!
В очередной раз, пока искал в истории канала какую-то ссылку на видео, решил что пора заканчивать с таким неблагородным делом и оформлять все материалы, которые скопились в представительный вид.
Из этого вылилось два репозитория на гитхабе с подборками всех материалов, которые были в канале, разбитые по логическим группам. Еще немного покопался в закромах и выудил ссылки на различные CTF и WriteUp по ним для Android. Получились достаточно интересные подборки. Подробнее посмотреть, что вышло можно в статье на Хабр (ну а куда без него).
Основная проблема всех таких репозиториев, что про них забывают и забивают и через месяц они становятся абсолютно неактуальными) Мне бы хотелось такого избежать, поэтому весь контент, что будет появляться в канале в конце недели я буду переносить в репозитории, а потом делать небольшой "дайджест" на Хабр по новостям текущей недели (посмотрим, зайдет ли такой формат).
Всем хорошей недели и приятного чтения, надеюсь, вы найдете для себя что-то новое в материалах.
#Habr #News #Awesome #Android #iOS
Хабр
Подборка материалов по мобильной безопасности «Awesome Mobile Security»
Привет, Хабр! Меня зовут Юрий Шабалин, я один из основателей компании "Стингрей Технолоджиз" (входит в группу компаний Swordfish Security), мы разрабатываем платформу анализа защищенности мобильных...
Первый дайджест на Хабр
Всем привет!
Сегодня вышел первый дайджест "Неделя мобильной безопасности (9-15 апреля)" на Хабр.
По факту, это подборка материала с канала за неделю. Возможно, кому-то в таком консолидированном виде будет удобнее читать, что же нового было в мире мобильного ИБ.
Если эксперимент окажется успешным и формат зайдет, то каждую неделю в пятницу или субботу я буду публиковать такую подборку и обновлять ссылки в репозиториях Awesome iOS Security и Awesome Android Security.
Всем хороших выходных!
#habr #news #awesome
Всем привет!
Сегодня вышел первый дайджест "Неделя мобильной безопасности (9-15 апреля)" на Хабр.
По факту, это подборка материала с канала за неделю. Возможно, кому-то в таком консолидированном виде будет удобнее читать, что же нового было в мире мобильного ИБ.
Если эксперимент окажется успешным и формат зайдет, то каждую неделю в пятницу или субботу я буду публиковать такую подборку и обновлять ссылки в репозиториях Awesome iOS Security и Awesome Android Security.
Всем хороших выходных!
#habr #news #awesome
Хабр
Неделя мобильной безопасности (9-15 апреля)
Привет, Хабр! Меня зовут Юрий Шабалин, как вы помните из предыдущих статей, я один из основателей компании Стингрей Технолоджиз, разработчика платформы анализа защищенности мобильных приложений iOS и...
Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом
Очень часто и много вопросов в разных чатах и на тренингах вызывает тема защиты канала связи, а именно SSL Pinning. Попробовать рассказать, что это такое, а также, к чему может привести отстутствие этого механизма я попробовал в статье "Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом".
Но на самом деле, прежде чем говорить о пиннинге, нужно понимать, что вообще происходит при взаимодействии клиента и сервера, как проходит установка безопасного соединения и еще несколько базовых вещей.
Я постарался описать все эти вещи максимально просто, так, как сам их понимаю, и надеюсь, что этот материал будет полезен тем, кто хочет сделать свой продукт более безопасным и разобраться, как работает этот механизм.
Я старался, так что, надеюсь, вам понравится!
Всех с понедельником и хорошей недели!
#Habr #SSL #Pinning
Очень часто и много вопросов в разных чатах и на тренингах вызывает тема защиты канала связи, а именно SSL Pinning. Попробовать рассказать, что это такое, а также, к чему может привести отстутствие этого механизма я попробовал в статье "Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом".
Но на самом деле, прежде чем говорить о пиннинге, нужно понимать, что вообще происходит при взаимодействии клиента и сервера, как проходит установка безопасного соединения и еще несколько базовых вещей.
Я постарался описать все эти вещи максимально просто, так, как сам их понимаю, и надеюсь, что этот материал будет полезен тем, кто хочет сделать свой продукт более безопасным и разобраться, как работает этот механизм.
Я старался, так что, надеюсь, вам понравится!
Всех с понедельником и хорошей недели!
#Habr #SSL #Pinning
Хабр
Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом
Привет, Хабр! Меня зовут Юрий Шабалин, как вы, наверное, уже знаете, я один из основателей компании Стингрей Технолоджиз, разработчика платформы анализа защищенности мобильных приложений iOS и...
Mobile AppSec World
Первый дайджест на Хабр Всем привет! Сегодня вышел первый дайджест "Неделя мобильной безопасности (9-15 апреля)" на Хабр. По факту, это подборка материала с канала за неделю. Возможно, кому-то в таком консолидированном виде будет удобнее читать, что же…
Вторая серия подборки
Всем хорошего вечера пятницы, выпустил, как обещал вторую версию дайджеста с подборкой материалов за неделю.
Эксперимент оказался вполне успешным, по крайнере мере негатива не было =)
И у меня возник вопрос, а стоит ли это публиковать на канале и добавилось в репозитории, раз уж это все равно по факту сборник того, что уже было на неделе, просто на другой площадке?
Если не сложно, отметьте, нужно такое или нет =)
#quiz #habr #news #awesome
Всем хорошего вечера пятницы, выпустил, как обещал вторую версию дайджеста с подборкой материалов за неделю.
Эксперимент оказался вполне успешным, по крайнере мере негатива не было =)
И у меня возник вопрос, а стоит ли это публиковать на канале и добавилось в репозитории, раз уж это все равно по факту сборник того, что уже было на неделе, просто на другой площадке?
Если не сложно, отметьте, нужно такое или нет =)
#quiz #habr #news #awesome
Хабр
Swordfish Security, Санкт-Петербург - Информационная безопасность, DevSecOps, SSDL / Статьи
25 статей от авторов компании Swordfish Security
И снова про App Transport Security: что это и зачем
Всем привет!
Очень часто при анализе iOS-приложений мы встречаем выключенный
Сначала я был с ними согласен, потому что действительно, штука не однозначная. Но разобравшись, я подумал, что благодаря этой настройке можно не только контролировать сетевое взаимодействие приложения но и частично тестировать корректную настройку backend, потому что с неправильной конфигурацией на стороне сервера клиент к нему просто не подключится.
А если к этому добавить возможность прикрепления сертификатов по аналогии с Андроидовским
Исходя из всех этих соображений я написал статью, посвященную теме App Transport Security, как его настраивать, что означают ключи, как сделать прикрепление сертификатов, как проверить настройку backend и многое другое!
Надеюсь, что вам пригодится это в работе!
Ну или тем, кто когда-то начнет работать с iOS и будет искать материалы по этой теме 😄
Всем хорошей недели!
#iOS #AppTransportSecurity #network #habr
Всем привет!
Очень часто при анализе iOS-приложений мы встречаем выключенный
App Transport Security
для всего приложения. И на вопросы, почему его выключили, обычно отвечают, что его не хочется настраивать и слишком много доменов, для которых нужно делать исключение. Сначала я был с ними согласен, потому что действительно, штука не однозначная. Но разобравшись, я подумал, что благодаря этой настройке можно не только контролировать сетевое взаимодействие приложения но и частично тестировать корректную настройку backend, потому что с неправильной конфигурацией на стороне сервера клиент к нему просто не подключится.
А если к этому добавить возможность прикрепления сертификатов по аналогии с Андроидовским
Network Security Config
, и посмотреть более внимательно, как его настраивать, то можно получить очень даже удобный инструмент для настройки сетевого взаимодействия. Исходя из всех этих соображений я написал статью, посвященную теме App Transport Security, как его настраивать, что означают ключи, как сделать прикрепление сертификатов, как проверить настройку backend и многое другое!
Надеюсь, что вам пригодится это в работе!
Ну или тем, кто когда-то начнет работать с iOS и будет искать материалы по этой теме 😄
Всем хорошей недели!
#iOS #AppTransportSecurity #network #habr
Хабр
И снова про App Transport Security: что это и зачем
Привет, Хабр! Меня зовут Юрий Шабалин, и, как я пишу в начале каждой своей статьи, мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android. В этой статье мне бы хотелось...
Mobile AppSec World
Публиковать ли ссылки на "Неделю новостей мобильной безопасности в канале?"
Новости мобильной безопасности. Эпизод 3.
Так как большинство проголосовало "за", а часть не знает про существование канала, то вот третий выпуск подборки на Хабр по новостям из мира мобильной (прости господи), безопасности!
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Так как большинство проголосовало "за", а часть не знает про существование канала, то вот третий выпуск подборки на Хабр по новостям из мира мобильной (прости господи), безопасности!
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Хабр
Неделя мобильной безопасности (23-29 апреля)
Привет, Хабр! Продолжая серию мини-дайджестов по мобильной безопасности, посмотрим, что интересного появилось с 23 по 29 апреля. Новости URI Spoofing в клиенте мессенджера Signal для iOS Достаточно...
Знай свои секреты. Поиск и автоматическая проверка секретов сторонних сервисов
Что-то в последнее время много постов на канале про моё творчество, но, наверное, это и неплохо :)
И вот вам занятное на почитать между праздниками, статья о хранении секретов в мобильных приложениях.
А именно о том, что происходит с аутентификационными данными от сторонних сервисов, которые мы так любим использовать, о том, как их искать и автоматически проверять на валидность, какие инструменты есть для решения подобных задач и как это всё автоматизировать.
Надеюсь, что для кого-то эта статья окажется полезной и он сможет применить некоторые подходы в своей работе!
Спасибо и хороших вторых выходных 😄
#habr #secrets #stingray
Что-то в последнее время много постов на канале про моё творчество, но, наверное, это и неплохо :)
И вот вам занятное на почитать между праздниками, статья о хранении секретов в мобильных приложениях.
А именно о том, что происходит с аутентификационными данными от сторонних сервисов, которые мы так любим использовать, о том, как их искать и автоматически проверять на валидность, какие инструменты есть для решения подобных задач и как это всё автоматизировать.
Надеюсь, что для кого-то эта статья окажется полезной и он сможет применить некоторые подходы в своей работе!
Спасибо и хороших вторых выходных 😄
#habr #secrets #stingray
Хабр
Знай свои секреты. Поиск и автоматическая проверка секретов сторонних сервисов
Привет, Хабр! По традиции, представлюсь, меня зовут Юрий Шабалин, и вместе с командой Стингрей мы разрабатываем платформу анализа защищенности мобильных приложений. Сегодня я хотел бы рассказать о...
Новости мобильной безопасности. Эпизод 4.
Продолжаем рубрику новостей из мира безопасности мобильных приложений (с 30 апреля по 6 мая). Несмотря на праздники, новостей и материалов было достаточно много, - давайте посмотрим, что интересного произошло.
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Продолжаем рубрику новостей из мира безопасности мобильных приложений (с 30 апреля по 6 мая). Несмотря на праздники, новостей и материалов было достаточно много, - давайте посмотрим, что интересного произошло.
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Хабр
Неделя мобильной безопасности (30 апреля — 6 мая)
Привет, Хабр! И снова представляю вам, как и обещал в статье про подборку материалов по мобильной безопасности , самые главные новости из мира безопасности мобильных приложений (с 30 апреля по 6...
Найти всё, что скрыто. Поиск чувствительной информации в мобильных приложениях
Одной из самых трудоемких задач в процессе анализа приложения (по времени так точно) - это поиск неправильно хранящихся чувствительных данных в приложении, понимание, откуда они там появились и где дальше используются.
В своей статье я немного рассказал про наши принципы и подходы к такому поиску, поразмышлял на тему того, как найти более сложные кейсы и как это связать воедино.
В секции про правильное хранение получилось добавить немного про шифрование и, думаю, в ближайшее время, я сделаю пост про основы шифрования, что нужно знать, чтобы не допустить простых ошибок во время реализации (по аналогии с SSL Pinning).
Надеюсь, что этот материал покажется вам интересным и вы сможете что-то нужное подчерпнуть для анализа или для защиты)
Всем хорошего понедельника и продуктивной недели!
#habr #sensinfo #blog #crypto
Одной из самых трудоемких задач в процессе анализа приложения (по времени так точно) - это поиск неправильно хранящихся чувствительных данных в приложении, понимание, откуда они там появились и где дальше используются.
В своей статье я немного рассказал про наши принципы и подходы к такому поиску, поразмышлял на тему того, как найти более сложные кейсы и как это связать воедино.
В секции про правильное хранение получилось добавить немного про шифрование и, думаю, в ближайшее время, я сделаю пост про основы шифрования, что нужно знать, чтобы не допустить простых ошибок во время реализации (по аналогии с SSL Pinning).
Надеюсь, что этот материал покажется вам интересным и вы сможете что-то нужное подчерпнуть для анализа или для защиты)
Всем хорошего понедельника и продуктивной недели!
#habr #sensinfo #blog #crypto
Хабр
Найти всё, что скрыто. Поиск чувствительной информации в мобильных приложениях
Привет, Хабр! Многим из вас я уже знаком по предыдущим статьям. Меня зовут Юрий Шабалин. Мы вместе с командой разрабатываем платформу анализа защищенности мобильных приложений. Сегодня я расскажу о...
Пятничные новости
Продолжая рубрику "Новости мобильной безопасности" за прошедшие недели - новая подборка!
Несмотря на праздники и весьма напряженные дни, контента для выпусков и новостей хватает, так что надеюсь каждый найдет для себя что-то полезное, если не успели прочитать все это в канале.
Всем хороших выходных и хорошей пятницы!
#habr #news #mobileappsec
Продолжая рубрику "Новости мобильной безопасности" за прошедшие недели - новая подборка!
Несмотря на праздники и весьма напряженные дни, контента для выпусков и новостей хватает, так что надеюсь каждый найдет для себя что-то полезное, если не успели прочитать все это в канале.
Всем хороших выходных и хорошей пятницы!
#habr #news #mobileappsec
Хабр
Неделя мобильной безопасности (14 — 20 мая)
Привет, Хабр! И снова представляю вам самые главные новости из мира безопасности мобильных приложений (с 14 по 20 мая). Несмотря на прошедшую вторую волну праздников, новостей и материалов хватает, -...
Нелегкий путь к динамическому анализу мобильных приложений
В предверии демо, решил немного поделиться тем, что произошло с нашим продуктом за последние несколько месяцев.
А именно, с какими проблемами мы столкнулись, как их решали и чего добились. Вышло, на мой взгляд, достаточно интересно. Технической информации там не много, но я просто не мог не поделиться своими переживаниями и эмоциями от того, что нам удалось сделать.
Надеюсь, что вам тоже будет интересно почитать)
Спасибо!
#habr #stingray #release
В предверии демо, решил немного поделиться тем, что произошло с нашим продуктом за последние несколько месяцев.
А именно, с какими проблемами мы столкнулись, как их решали и чего добились. Вышло, на мой взгляд, достаточно интересно. Технической информации там не много, но я просто не мог не поделиться своими переживаниями и эмоциями от того, что нам удалось сделать.
Надеюсь, что вам тоже будет интересно почитать)
Спасибо!
#habr #stingray #release
Хабр
Нелегкий путь к динамическому анализу мобильных приложений
Привет, Хабр! Каждую свою статью я начинаю с упоминания о том, что наша команда разрабатывает платформу анализа защищенности мобильных приложений. Почему? Размещая свои посты, информацию, которая мне...
Инструмент для загрузки приложений из систем дистрибуции и магазинов приложений
Всем привет!
Очень часто возникает необходимость загрузить что-то из Google Play или Apple Appstore.
А бывает и такое, что нужно автоматизировать загрузку промежуточных версий из какого-то Firebase, например или AppCenter.
Мы тоже сталкиваемся постоянно с этими задачами, поэтому решили их автоматизировать и оформить в виде репо на гитхаб, а также питоновского пакета и докер-образа :)
Вообще, это наш cli для автоматического сканирования приложений, но если вам нужно просто приложение, достаточно указать флаг —download_only
И если интересно почитать, как мы это разрабатывали - прошу на Хабр!
Пользуйтесь на здоровье :)
#habr #integratios #firebase #googleplay #appstore
Всем привет!
Очень часто возникает необходимость загрузить что-то из Google Play или Apple Appstore.
А бывает и такое, что нужно автоматизировать загрузку промежуточных версий из какого-то Firebase, например или AppCenter.
Мы тоже сталкиваемся постоянно с этими задачами, поэтому решили их автоматизировать и оформить в виде репо на гитхаб, а также питоновского пакета и докер-образа :)
Вообще, это наш cli для автоматического сканирования приложений, но если вам нужно просто приложение, достаточно указать флаг —download_only
И если интересно почитать, как мы это разрабатывали - прошу на Хабр!
Пользуйтесь на здоровье :)
#habr #integratios #firebase #googleplay #appstore
Хабр
Один в поле не воин. Полезные интеграции для инструментов анализа мобильных приложений
Привет, Хабр! Как вы уже наверняка помните, меня зовут Юрий Шабалин и я занимаюсь разработкой динамического анализатора мобильных приложений Стингрей. Сегодня мне хотелось бы затронуть тему интеграций...
Знакомьтесь, динамический анализ приложений или просто DAST.
Всем привет!
В связи с недавними событиями рынок ИБ-инструментов для анализа приложений достаточно сильно "похудел". По своему опыту скажу, что наиболее сильно это ударило по инструментам по анализу Open Source компонент (практика SCA) и по динамическому анализу (всякие Acunetix, Netsparker и прочие DAST-инструменты).
На этой волне, вполне возможно, что будут появляться (я по крайней мере очень на это надеюсь), наши решения, которые закрывают ушедших с нашего рынка игроков и не будут уступать им по качеству. Поэтому я собрал в статью основные правила по выбору инструмента DAST, на что обратить внимание, как встроить в процесс и разные веселые (и не очень) истории из жизни)) Например, когда наш корпоративный WiFi заблочили во время презентации нового сайта ТОП-менеджерам компании :D
Удивительно, как меня потом не уволили)))
Надеюсь это будет полезно тем, кто занимается AppSec и ищет различные инструменты и материалы по теме)
Ну и отдельным пунктом здесь же, хотелось бы анонсировать интересный тул от компании Positive, их динамический сканер) Мы его немного пощупали до бэты и это крайне интресная вещь) Так что, если есть желание посмотреть, чем позитивы нас порадуют в этот раз - подключайтесь на официальный запуск =)
#DAST #Habr #Positive #DevSecOps
Всем привет!
В связи с недавними событиями рынок ИБ-инструментов для анализа приложений достаточно сильно "похудел". По своему опыту скажу, что наиболее сильно это ударило по инструментам по анализу Open Source компонент (практика SCA) и по динамическому анализу (всякие Acunetix, Netsparker и прочие DAST-инструменты).
На этой волне, вполне возможно, что будут появляться (я по крайней мере очень на это надеюсь), наши решения, которые закрывают ушедших с нашего рынка игроков и не будут уступать им по качеству. Поэтому я собрал в статью основные правила по выбору инструмента DAST, на что обратить внимание, как встроить в процесс и разные веселые (и не очень) истории из жизни)) Например, когда наш корпоративный WiFi заблочили во время презентации нового сайта ТОП-менеджерам компании :D
Удивительно, как меня потом не уволили)))
Надеюсь это будет полезно тем, кто занимается AppSec и ищет различные инструменты и материалы по теме)
Ну и отдельным пунктом здесь же, хотелось бы анонсировать интересный тул от компании Positive, их динамический сканер) Мы его немного пощупали до бэты и это крайне интресная вещь) Так что, если есть желание посмотреть, чем позитивы нас порадуют в этот раз - подключайтесь на официальный запуск =)
#DAST #Habr #Positive #DevSecOps
Хабр
Практика динамического анализа. Особенности реализации и нюансы при встраивании в процесс
Привет, Хабр! И снова в эфире Юрий Шабалин, главный архитектор компании Swordfish Security. Мы уже достаточно давно занимаемся консалтингом в области построения процессов безопасной разработки для...
Заблуждения о безопасности мобильных приложений
После долгого затишья я наконец-то дописал и опубликовал статью по мотивам вебинара - «Мифы о безопасности мобильных приложений».
Данные для этой статьи я копил годами и больше не могу уже терпеть) Я собрал наиболее часто встречающиеся заблуждения, которые я слышу, когда речь заходит о безопасности мобильных приложений. Это то, с чем мне приходится сталкиваться очень часто и постоянно говорить одно и то же.
Я решился объединить все эти мысли и домыслы в один большой текст и выразить свое мнение по этому поводу.
Надеюсь, вам будет интересно почитать и, скорее всего есть что добавить или поспорить, так что не стесняйтесь, может я вообще не прав и мобилки это действительно просто витрина данных для бэкенда? 🙃
#habr #webinar #mobilesecurity
После долгого затишья я наконец-то дописал и опубликовал статью по мотивам вебинара - «Мифы о безопасности мобильных приложений».
Данные для этой статьи я копил годами и больше не могу уже терпеть) Я собрал наиболее часто встречающиеся заблуждения, которые я слышу, когда речь заходит о безопасности мобильных приложений. Это то, с чем мне приходится сталкиваться очень часто и постоянно говорить одно и то же.
Я решился объединить все эти мысли и домыслы в один большой текст и выразить свое мнение по этому поводу.
Надеюсь, вам будет интересно почитать и, скорее всего есть что добавить или поспорить, так что не стесняйтесь, может я вообще не прав и мобилки это действительно просто витрина данных для бэкенда? 🙃
#habr #webinar #mobilesecurity
Хабр
Шорт-лист мифов о безопасности мобильных приложений и неприкрытая правда
Всем привет! И снова с вами я, Юрий Шабалин, ведущий архитектор Swordfish Security и генеральный директор Стингрей Технолоджиз. Как вы помните, мы разрабатываем систему автоматизированного анализа...
Все, что вы хотели знать о CTF, но боялись спросить
Всем привет!
Сегодня у меня просто отличный повод написать пост, вышла потрясающая статья о CTF - "Соревнования Capture The Flag (CTF) и все, что вы о них еще не знали".
В статье простым языком рассказывается о том, что такое CTF, зачем они нужны и что делать, если ты никогда в них не участвовал, но хотел бы. Что особенно интересно - это формат повествования в виде интервью с именитыми CTF-ерами и организаторами:
- Егор Богомолов – победитель многочисленных CTF и участник bug-bounty, основатель компании Singleton Security, глава обучающего центра CyberED (бывш. «HackerU»)
- Омар Ганиев aka Beched, «этичный хакер», специалист по безопасности приложений и тестированию на проникновение, спикер различных конференций (Highload++, PHDays, ZeroNights, OWASP и т. д.), член сильнейшей российской CTF-команды «More Smoked Leet Chicken». Основал компанию DeteAct для разработки продуктов и оказания услуг по ИБ. Преподавал практическую безопасность в РТУ МИРЭА
- Влад Росков, капитан команды LC↯BC / More Smoked Leet Chicken, многократный победитель и организатор CTF (с сообществом SPbCTF)
- Константин Крючков, многократный участник CTF (команда Keva), организатор образовательных CTF в Swordfish Security
Как по мне вышло очень бодро и интересно! С удовольствием почитал ответы на вопросы ребят, классные истории и советы 😄
Ну и конечно, в виде бонуса итоговая табличка с наиболее популярными CTF в конце статьи.
Так что приятного чтения, надеюсь вам понравится также, как и мне!
#ctf #habr
Всем привет!
Сегодня у меня просто отличный повод написать пост, вышла потрясающая статья о CTF - "Соревнования Capture The Flag (CTF) и все, что вы о них еще не знали".
В статье простым языком рассказывается о том, что такое CTF, зачем они нужны и что делать, если ты никогда в них не участвовал, но хотел бы. Что особенно интересно - это формат повествования в виде интервью с именитыми CTF-ерами и организаторами:
- Егор Богомолов – победитель многочисленных CTF и участник bug-bounty, основатель компании Singleton Security, глава обучающего центра CyberED (бывш. «HackerU»)
- Омар Ганиев aka Beched, «этичный хакер», специалист по безопасности приложений и тестированию на проникновение, спикер различных конференций (Highload++, PHDays, ZeroNights, OWASP и т. д.), член сильнейшей российской CTF-команды «More Smoked Leet Chicken». Основал компанию DeteAct для разработки продуктов и оказания услуг по ИБ. Преподавал практическую безопасность в РТУ МИРЭА
- Влад Росков, капитан команды LC↯BC / More Smoked Leet Chicken, многократный победитель и организатор CTF (с сообществом SPbCTF)
- Константин Крючков, многократный участник CTF (команда Keva), организатор образовательных CTF в Swordfish Security
Как по мне вышло очень бодро и интересно! С удовольствием почитал ответы на вопросы ребят, классные истории и советы 😄
Ну и конечно, в виде бонуса итоговая табличка с наиболее популярными CTF в конце статьи.
Так что приятного чтения, надеюсь вам понравится также, как и мне!
#ctf #habr
Хабр
Соревнования Capture The Flag (CTF) и все, что вы о них еще не знали
Привет! Меня зовут Анна Шабалина, и я работаю в Swordfish Security. Этой статьей я открываю нашу новую рубрику #досугбезопасника. Мы частенько организовываем, наблюдаем или обсуждаем CTF, и...
Разрешения в Android
Вдохновлённые одной из статей Oversecured про типичные ошибки в разрешениях, которые присутствуют при разработке приложений мы решили собрать чек-лист чуть побольше и дать немного больше описания и теории всем, кто хотел бы узнать что-то новое или освежить воспоминания об этом инструменте.
По итогу родилась статья на Хабр.
Прошу вашего внимания и, надеюсь, что информация окажется полезной!
Всем приятного чтения и хорошего настроения!
#habr #android #permissions
Вдохновлённые одной из статей Oversecured про типичные ошибки в разрешениях, которые присутствуют при разработке приложений мы решили собрать чек-лист чуть побольше и дать немного больше описания и теории всем, кто хотел бы узнать что-то новое или освежить воспоминания об этом инструменте.
По итогу родилась статья на Хабр.
Прошу вашего внимания и, надеюсь, что информация окажется полезной!
Всем приятного чтения и хорошего настроения!
#habr #android #permissions
Хабр
Permissions в Android: как не допустить ошибок при разработке
Всем привет! На связи Юрий Шабалин, ведущий архитектор Swordfish Security и генеральный директор Стингрей Технолоджиз. Эта статья написана в соавторстве с Android-разработчиком Веселиной Зацепиной (...
Mobile AppSec World
Новая атака на цепочку поставок: Java и Android под ударом! Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android... Способ…
И снова про MavenGate!
Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.
И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака невозможна. Дело в том, что на самом деле один репозиторий пока не в состоянии решить эту проблему. До тех пор, пока можно будет загружать любые компоненты в любые репозитории - она будет актуальна и ещё как возможна!
И на самом деле, уязвимы не только 18% компонент, но и многие проекты по цепочке, которые используют уязвимые либы как зависимости. И дальше, паровозиком транзитивных зависимостей и попадёт скомпрометированная библиотека в проект конечного разработчика.
На момент вчерашнего дня уже было куплено 15 доменов и потихоньку эта цифра растет. Кто их покупает и для чего, хороший вопрос, но я уверен, что эта атака обязательно стрельнет где-то :)
Ну а мы в свою очередь добавили к себе анализ SBOM-файла для Android приложений, для того чтобы определить, есть ли проблемные зависимости в приложениях, которые мы анализируем. Уверен, что мы сможем помочь выявить «шпиона» :D
Всем приятного чтения, мы очень старались!
#habr #sca #supplychain
Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.
И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака невозможна. Дело в том, что на самом деле один репозиторий пока не в состоянии решить эту проблему. До тех пор, пока можно будет загружать любые компоненты в любые репозитории - она будет актуальна и ещё как возможна!
И на самом деле, уязвимы не только 18% компонент, но и многие проекты по цепочке, которые используют уязвимые либы как зависимости. И дальше, паровозиком транзитивных зависимостей и попадёт скомпрометированная библиотека в проект конечного разработчика.
На момент вчерашнего дня уже было куплено 15 доменов и потихоньку эта цифра растет. Кто их покупает и для чего, хороший вопрос, но я уверен, что эта атака обязательно стрельнет где-то :)
Ну а мы в свою очередь добавили к себе анализ SBOM-файла для Android приложений, для того чтобы определить, есть ли проблемные зависимости в приложениях, которые мы анализируем. Уверен, что мы сможем помочь выявить «шпиона» :D
Всем приятного чтения, мы очень старались!
#habr #sca #supplychain
Хабр
Разбираемся с MavenGate, новой атакой на цепочку поставок для Java и Android-приложений
Всем привет! Сегодня с вами Юрий Шабалин, генеральный директор «Стингрей Технолоджиз», и я хотел бы разобрать в этой статье новый тип атаки на цепочку поставок под названием «MavenGate». А что в ней,...
Фокус на безопасность мобильных приложений
Всем привет!
Давно ничего не писал, аж целых два месяца)) Но взял себя в руки и теперь и канал оживает, будут всегда свежие посты и новости и на Хабр вышла новая статья.
Статья не совсем техническая, она посвящена особенностям мобильных приложений, которые часто упускают из вида и забывают при построении процесса безопасной разработки. Да и просто при планировании мероприятий по анализу защищенности ресурсов мобилки всегда отодвигают "на потом". Возможно это связано с тем, что не все до конца понимают нюансы при релизе мобилок и всех векторов атак. И что устранение уязвимости в мобилке это немного не тоже самое, что устранение в серверной части.
Можно считать, что это некоторое логическое продолжение статьи "Мифы о безопасности мобильных приложений", только затрагивает она не заблуждения о мобилках, а их особенности.
Я постарался изложить свои мысли по этому поводу, надеюсь это поможет кому-то по новому взглянуть на мобильные приложения, и запланировать мероприятия по регулярному анализу их защищенности (ну а мы поможем). Ну или просто посмотреть на взгляд со стороны, как это воспринимаем мы, по свою сторону баррикад, возможно я просто чего-то не понимаю, поэтому пожалуйста, не стесняйтесь писать комментарии.
Приятного чтения, надеюсь, вам понравится!
#android #ios #mobile #habr
Всем привет!
Давно ничего не писал, аж целых два месяца)) Но взял себя в руки и теперь и канал оживает, будут всегда свежие посты и новости и на Хабр вышла новая статья.
Статья не совсем техническая, она посвящена особенностям мобильных приложений, которые часто упускают из вида и забывают при построении процесса безопасной разработки. Да и просто при планировании мероприятий по анализу защищенности ресурсов мобилки всегда отодвигают "на потом". Возможно это связано с тем, что не все до конца понимают нюансы при релизе мобилок и всех векторов атак. И что устранение уязвимости в мобилке это немного не тоже самое, что устранение в серверной части.
Можно считать, что это некоторое логическое продолжение статьи "Мифы о безопасности мобильных приложений", только затрагивает она не заблуждения о мобилках, а их особенности.
Я постарался изложить свои мысли по этому поводу, надеюсь это поможет кому-то по новому взглянуть на мобильные приложения, и запланировать мероприятия по регулярному анализу их защищенности (ну а мы поможем). Ну или просто посмотреть на взгляд со стороны, как это воспринимаем мы, по свою сторону баррикад, возможно я просто чего-то не понимаю, поэтому пожалуйста, не стесняйтесь писать комментарии.
Приятного чтения, надеюсь, вам понравится!
#android #ios #mobile #habr
Хабр
Фокус на безопасность мобильных приложений
Всем привет! На связи Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». Недавно я проводил вебинар для новых сотрудников компании, в котором рассказывал про проблемы...
Please open Telegram to view this post
VIEW IN TELEGRAM
Персональные данные и мобильные приложения, как они связаны?
Всем привет!
Я наконец выплыл из отпуска и возвращаюсь в рабочее русло 😄
И на повестке дня сегодня не что иное, как персональные данные и их утечки.
Меня очень давно интересовал этот вопрос, можно ли считать хранение или утечку ПДн через мобилку на самом деле утечкой, чем это может грозить и вообще, что же такое мобильное приложение с точки зрения нашего законодательства?
Я потратил достаточно много времени и экспертизой своих коллег чтобы разобраться в этом вопросе и вот результат - статья на Хабр.
Как мне кажется получилось достаточно неплохо, по крайней мере для себя я определился и с понятиями ПДн в мобилках и с определением приложений вообще в законах. Надеюсь, вам тоже это будет интересно. Особенно, учитывая, что сейчас на рассмотрении закон о введении оборотных штрафов для компаний, допустивших утечки.
Приятного чтения!
#habr #ПДн
Всем привет!
Я наконец выплыл из отпуска и возвращаюсь в рабочее русло 😄
И на повестке дня сегодня не что иное, как персональные данные и их утечки.
Меня очень давно интересовал этот вопрос, можно ли считать хранение или утечку ПДн через мобилку на самом деле утечкой, чем это может грозить и вообще, что же такое мобильное приложение с точки зрения нашего законодательства?
Я потратил достаточно много времени и экспертизой своих коллег чтобы разобраться в этом вопросе и вот результат - статья на Хабр.
Как мне кажется получилось достаточно неплохо, по крайней мере для себя я определился и с понятиями ПДн в мобилках и с определением приложений вообще в законах. Надеюсь, вам тоже это будет интересно. Особенно, учитывая, что сейчас на рассмотрении закон о введении оборотных штрафов для компаний, допустивших утечки.
Приятного чтения!
#habr #ПДн
Хабр
Защита персональных данных в мобильных приложениях: как не нарушить закон
Всем привет! На связи снова Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». В предыдущей статье я рассказывал о влиянии Профиля защиты ЦБ РФ на мобильные приложения. В продолжение темы...