Перехват трафика в Android
Сколько вопросов, столько и гайдов по тому, как же все-таки осуществить перехват трафика приложения в Android… Да что там, я и сам недавно гуглил, как завернуть трафик эмулятора через прокси в новом интерфейсе Android Studio :)
А вот и еще одна статья по данной тематике, но, честно говоря мне почему-то она очень понравилась. Или контент или оформление в виде инструкции по шагам, или использование HTTP Toolkit в качестве VPN/прокси, но я решил о ней написать.
Плюс, для начинающих, если заглянуть в список репозиториев, то можно лучше понять, как работать со студией и эмуляторами, что тоже немаловажно.
В общем, пользуйтесь, если кто не знал или никогда не смотрел в сторону заворачивания трафика через VPN.
И хороших вам всем выходных!
#android. #pinning #proxy
Сколько вопросов, столько и гайдов по тому, как же все-таки осуществить перехват трафика приложения в Android… Да что там, я и сам недавно гуглил, как завернуть трафик эмулятора через прокси в новом интерфейсе Android Studio :)
А вот и еще одна статья по данной тематике, но, честно говоря мне почему-то она очень понравилась. Или контент или оформление в виде инструкции по шагам, или использование HTTP Toolkit в качестве VPN/прокси, но я решил о ней написать.
Плюс, для начинающих, если заглянуть в список репозиториев, то можно лучше понять, как работать со студией и эмуляторами, что тоже немаловажно.
В общем, пользуйтесь, если кто не знал или никогда не смотрел в сторону заворачивания трафика через VPN.
И хороших вам всем выходных!
#android. #pinning #proxy
GitHub
GitHub - LabCIF-Tutorials/Tutorial-AndroidNetworkInterception: How to intercept network trafic on Android
How to intercept network trafic on Android. Contribute to LabCIF-Tutorials/Tutorial-AndroidNetworkInterception development by creating an account on GitHub.
Mobile AppSec World
Все на борт! Открываем регистрацию на митап CyberCamp с самой "морской" атмосферой — DevSecOps🌊 20 апреля c 11:00 МСК будем разбирать направления, подходы и практики безопасной разработки. В программе: 🛟 Путь самурая: фреймворк безопасной разработки Кирилл…
Митап сегодня
Всем привет!
Уже в трансляции вебинар, на котором немного расскажу про типовые уязвимости, с которыми мы сталкивались за прошлый год.
К сожалению, не успею рассказать, все, что хотелось, но надеюсь на вторую серию :)
Присоединяйтесь!
Всем привет!
Уже в трансляции вебинар, на котором немного расскажу про типовые уязвимости, с которыми мы сталкивались за прошлый год.
К сожалению, не успею рассказать, все, что хотелось, но надеюсь на вторую серию :)
Присоединяйтесь!
YouTube
CyberCamp MeetUp. DevSecOps
DevSecOps как бездонный океан: охватывает множество направлений, подходов и практик.
На митапе вас ждет незабываемое приключение. Наше плавание начнется с обзорной экскурсии по DevSecOps. Пришвартуемся на острове композиционного анализа. Пройдем между Сциллой…
На митапе вас ждет незабываемое приключение. Наше плавание начнется с обзорной экскурсии по DevSecOps. Пришвартуемся на острове композиционного анализа. Пройдем между Сциллой…
И снова конкурс на Mobius 2023 Spring!
Всем привет!
Как многие из вас знают, совсем скоро (12-13 и 19-20 мая) пройдет конференция Mobius, посвященная мобильным приложениям. В этот раз мне повезло быть спикером и выступить в "главной студии" с докладом про мифы и легенды о безопасности мобильных приложений с примерами реальных уязвимостей, что мы находили в процессе своей работы.
В связи с этим я бы хотел разыграть билет на это мероприятие.
Задание конкурса заключается в следующем:
Напишите в комментариях к этому посту с тэгом #mobius2023, где вы находите и отслеживаете информацию о новых уязвимостях, атаках, инструментах анализа и подходов к тестированию и прочим интересным штукам. Это может быть любые материалы, люди, rss, TG-каналы и прочее.
По количеству участников посмотрим, либо выберу сам, либо великий рандом мне поможет, если не смогу определиться 😁
Так как задание не самое сложное и мероприятие уже близко, итоги конкурса подведем в пятницу перед майскими праздниками. Плюс, анонсирую небольшой бонус тем, кто захочет все-таки купить билет.
Так что не стесняйтесь, накидывайте, составим небольшую карту полезных ресурсов, думаю, что будет интересно!
До пятницы!
#mobius #конкурс #анонс
Всем привет!
Как многие из вас знают, совсем скоро (12-13 и 19-20 мая) пройдет конференция Mobius, посвященная мобильным приложениям. В этот раз мне повезло быть спикером и выступить в "главной студии" с докладом про мифы и легенды о безопасности мобильных приложений с примерами реальных уязвимостей, что мы находили в процессе своей работы.
В связи с этим я бы хотел разыграть билет на это мероприятие.
Задание конкурса заключается в следующем:
Напишите в комментариях к этому посту с тэгом #mobius2023, где вы находите и отслеживаете информацию о новых уязвимостях, атаках, инструментах анализа и подходов к тестированию и прочим интересным штукам. Это может быть любые материалы, люди, rss, TG-каналы и прочее.
По количеству участников посмотрим, либо выберу сам, либо великий рандом мне поможет, если не смогу определиться 😁
Так как задание не самое сложное и мероприятие уже близко, итоги конкурса подведем в пятницу перед майскими праздниками. Плюс, анонсирую небольшой бонус тем, кто захочет все-таки купить билет.
Так что не стесняйтесь, накидывайте, составим небольшую карту полезных ресурсов, думаю, что будет интересно!
До пятницы!
#mobius #конкурс #анонс
Mobius 2023 Spring. Конференция для мобильных разработчиков
Мифы и легенды о безопасности мобильных приложений | Доклад на Mobius 2023 Spring
Юрий объяснит, почему важно уделять внимание безопасности всех составляющих сервисов, а в особенности — мобильным приложениям. В докладе есть бизнес-часть (про публикации, проверки магазинами приложений, риски взлома приложений) и чисто техническая часть…
Mobile AppSec World
И снова конкурс на Mobius 2023 Spring! Всем привет! Как многие из вас знают, совсем скоро (12-13 и 19-20 мая) пройдет конференция Mobius, посвященная мобильным приложениям. В этот раз мне повезло быть спикером и выступить в "главной студии" с докладом про…
Итоги конкурса
Всем привет и отличных выходных!
Пришло время подвести итоги конкурса! Я посмотрел все ссылки на материалы, что вы скинули и выбрал ту, о которой не знал и которая показалась мне наиболее подходящей и интересной!
Итак, побеждает и получает билет @noble_activity за ссылку на канал https://t.me/androidMalware!
Поздравляю, с тобой а ближайшее время свяжется организатор и расскажет, как получить свой бесплатный билет на конференцию Mobius!
Думаю, что в этом году будет много хорошего контента) По крайней мере, судя по описанию, можно найти много интересного
Ну п следующим постом будет репост с канала, который оказался в победителях)
#Mobius #conference #конкурс
Всем привет и отличных выходных!
Пришло время подвести итоги конкурса! Я посмотрел все ссылки на материалы, что вы скинули и выбрал ту, о которой не знал и которая показалась мне наиболее подходящей и интересной!
Итак, побеждает и получает билет @noble_activity за ссылку на канал https://t.me/androidMalware!
Поздравляю, с тобой а ближайшее время свяжется организатор и расскажет, как получить свой бесплатный билет на конференцию Mobius!
Думаю, что в этом году будет много хорошего контента) По крайней мере, судя по описанию, можно найти много интересного
Ну п следующим постом будет репост с канала, который оказался в победителях)
#Mobius #conference #конкурс
Telegram
Android Security & Malware
Mobile cybersecurity channel
Links: https://linktr.ee/mobilehacker
Contact: mobilehackerofficial@gmail.com
Links: https://linktr.ee/mobilehacker
Contact: mobilehackerofficial@gmail.com
Forwarded from Android Security & Malware
Android Deep Link Issues And WebView Exploitation
https://8ksec.io/android-deeplink-and-webview-exploitation-8ksec-blogs/
https://8ksec.io/android-deeplink-and-webview-exploitation-8ksec-blogs/
8kSec - 8kSec is a cybersecurity research & training company. We provide high-quality training & consulting services.
Android Deep Link issues and WebView Exploitation | 8kSec Blogs
In this Blog post, learn about Android deep link and WebView issues, explaining their targets, exploitation and security measures. Read now
Гайды для начинающих или Android/iOS Cheat sheets
Всем привет!
С наступающими праздниками! И конечно, чем же ще зняться в праздники, кроме как изучением чего-то нового. И как правило, в этом могу помочь гайды/сборники с общей информацией, доступные в едином месте. Такими и являются различные cheatsheet-ы и прочие awesome-репозитории.
Сегодня мне приглянулись два из них. достаточно неплохие для того, кто только начинает знакомиться с миром мобильной безопасности. Два репозитория от одного автора, что интересно, они поддерживаются и обновляются (4 часа назад последнее изменение). Создан он был, как подарок мне на день рождения (23 апреля) и достаточно "свеж", так что более-менее актуален и, надеюсь, автор это дело не забросит.
Ссылки на репозитории:
- Android
- iOS
Для тех, кто давно уже занимается безопасностью, все равно рекомендую просматривать такие репозитории, всегда можно найти что-то новое или какую-то идею/статью для дальнейшего анализа.
Всем хороших праздников!
#Android #iOS #cheatrSheet #github
Всем привет!
С наступающими праздниками! И конечно, чем же ще зняться в праздники, кроме как изучением чего-то нового. И как правило, в этом могу помочь гайды/сборники с общей информацией, доступные в едином месте. Такими и являются различные cheatsheet-ы и прочие awesome-репозитории.
Сегодня мне приглянулись два из них. достаточно неплохие для того, кто только начинает знакомиться с миром мобильной безопасности. Два репозитория от одного автора, что интересно, они поддерживаются и обновляются (4 часа назад последнее изменение). Создан он был, как подарок мне на день рождения (23 апреля) и достаточно "свеж", так что более-менее актуален и, надеюсь, автор это дело не забросит.
Ссылки на репозитории:
- Android
- iOS
Для тех, кто давно уже занимается безопасностью, все равно рекомендую просматривать такие репозитории, всегда можно найти что-то новое или какую-то идею/статью для дальнейшего анализа.
Всем хороших праздников!
#Android #iOS #cheatrSheet #github
GitHub
GitHub - ivan-sincek/android-penetration-testing-cheat-sheet: Work in progress...
Work in progress... Contribute to ivan-sincek/android-penetration-testing-cheat-sheet development by creating an account on GitHub.
Frida для начинающих
Всем привет!
Что-то последнее время часто встречаю гайды для только вкатывающихся в тему безопасности мобилок.
И вот такой гайд, я бы даже назвал его методичкой по использованию Frida. Весьма неплохой, есть и обычные примеры для начинающих, и объяснение, зачем это все нужно и как примерно работает. Но наиболее интересная часть про практическое применение, про расшифровку паролей, вызов методов напрямую и т.д.
Весьма советую тем, кто использует (начинает) Frida и тем, кому от неё защищаться (ведь всегда полезно знать, как работает то, от чего ты пытаешься написать защиту). Ведь даже если ты зашифровал что-то, для расшифровки вполне можно вызвать функцию напрямую, конечно, если не использовать биометрию в качестве права на получение доступа к криптообъекту ;)
В общем, хорошая штука.
И всех с праздником!!
#Frida #beginnerguide #android
Всем привет!
Что-то последнее время часто встречаю гайды для только вкатывающихся в тему безопасности мобилок.
И вот такой гайд, я бы даже назвал его методичкой по использованию Frida. Весьма неплохой, есть и обычные примеры для начинающих, и объяснение, зачем это все нужно и как примерно работает. Но наиболее интересная часть про практическое применение, про расшифровку паролей, вызов методов напрямую и т.д.
Весьма советую тем, кто использует (начинает) Frida и тем, кому от неё защищаться (ведь всегда полезно знать, как работает то, от чего ты пытаешься написать защиту). Ведь даже если ты зашифровал что-то, для расшифровки вполне можно вызвать функцию напрямую, конечно, если не использовать биометрию в качестве права на получение доступа к криптообъекту ;)
В общем, хорошая штука.
И всех с праздником!!
#Frida #beginnerguide #android
GitHub
Mobile-App-Instrumentation/README.md at main · jaimin-ns/Mobile-App-Instrumentation
Contribute to jaimin-ns/Mobile-App-Instrumentation development by creating an account on GitHub.
Автоматический скрипт для настройки редиректа трафика и добавления сертификата.
Недавно я писал про то, что ChatGPT мне никак не помог и в комментариях мы сошлись во мнении, что это пока игрушка или помощник, но никак не самостоятельный игрок.
И тут я нахожу репозиторий, который обещает автоматически конвертировать сертификат из Burp в нужный формат, добавлять его на устройство и редиректить трафик с устройства на Burp. И самое интересное, что он написан при помощи того самого ChatGPT.
Я ещё не пробовал, но мне прям интересно, взлетит или нет) Если будет работать, то это весьма удобный скрипт для быстрой настройки окружения. Как проверю, дам знать :) Ну или пишите в комментариях, если сможете попробовать раньше меня)
Неужели он все таки на что-то годится? 😁
#chatgpt #android #cert
Недавно я писал про то, что ChatGPT мне никак не помог и в комментариях мы сошлись во мнении, что это пока игрушка или помощник, но никак не самостоятельный игрок.
И тут я нахожу репозиторий, который обещает автоматически конвертировать сертификат из Burp в нужный формат, добавлять его на устройство и редиректить трафик с устройства на Burp. И самое интересное, что он написан при помощи того самого ChatGPT.
Я ещё не пробовал, но мне прям интересно, взлетит или нет) Если будет работать, то это весьма удобный скрипт для быстрой настройки окружения. Как проверю, дам знать :) Ну или пишите в комментариях, если сможете попробовать раньше меня)
Неужели он все таки на что-то годится? 😁
#chatgpt #android #cert
GitHub
GitHub - Anof-cyber/Androset: Automated script to convert and push Burp Suite certificate in Android, and modify Android's IP table…
Automated script to convert and push Burp Suite certificate in Android, and modify Android's IP table to redirect all traffic to Burp Suite. - Anof-cyber/Androset
Все, что вы хотели знать о CTF, но боялись спросить
Всем привет!
Сегодня у меня просто отличный повод написать пост, вышла потрясающая статья о CTF - "Соревнования Capture The Flag (CTF) и все, что вы о них еще не знали".
В статье простым языком рассказывается о том, что такое CTF, зачем они нужны и что делать, если ты никогда в них не участвовал, но хотел бы. Что особенно интересно - это формат повествования в виде интервью с именитыми CTF-ерами и организаторами:
- Егор Богомолов – победитель многочисленных CTF и участник bug-bounty, основатель компании Singleton Security, глава обучающего центра CyberED (бывш. «HackerU»)
- Омар Ганиев aka Beched, «этичный хакер», специалист по безопасности приложений и тестированию на проникновение, спикер различных конференций (Highload++, PHDays, ZeroNights, OWASP и т. д.), член сильнейшей российской CTF-команды «More Smoked Leet Chicken». Основал компанию DeteAct для разработки продуктов и оказания услуг по ИБ. Преподавал практическую безопасность в РТУ МИРЭА
- Влад Росков, капитан команды LC↯BC / More Smoked Leet Chicken, многократный победитель и организатор CTF (с сообществом SPbCTF)
- Константин Крючков, многократный участник CTF (команда Keva), организатор образовательных CTF в Swordfish Security
Как по мне вышло очень бодро и интересно! С удовольствием почитал ответы на вопросы ребят, классные истории и советы 😄
Ну и конечно, в виде бонуса итоговая табличка с наиболее популярными CTF в конце статьи.
Так что приятного чтения, надеюсь вам понравится также, как и мне!
#ctf #habr
Всем привет!
Сегодня у меня просто отличный повод написать пост, вышла потрясающая статья о CTF - "Соревнования Capture The Flag (CTF) и все, что вы о них еще не знали".
В статье простым языком рассказывается о том, что такое CTF, зачем они нужны и что делать, если ты никогда в них не участвовал, но хотел бы. Что особенно интересно - это формат повествования в виде интервью с именитыми CTF-ерами и организаторами:
- Егор Богомолов – победитель многочисленных CTF и участник bug-bounty, основатель компании Singleton Security, глава обучающего центра CyberED (бывш. «HackerU»)
- Омар Ганиев aka Beched, «этичный хакер», специалист по безопасности приложений и тестированию на проникновение, спикер различных конференций (Highload++, PHDays, ZeroNights, OWASP и т. д.), член сильнейшей российской CTF-команды «More Smoked Leet Chicken». Основал компанию DeteAct для разработки продуктов и оказания услуг по ИБ. Преподавал практическую безопасность в РТУ МИРЭА
- Влад Росков, капитан команды LC↯BC / More Smoked Leet Chicken, многократный победитель и организатор CTF (с сообществом SPbCTF)
- Константин Крючков, многократный участник CTF (команда Keva), организатор образовательных CTF в Swordfish Security
Как по мне вышло очень бодро и интересно! С удовольствием почитал ответы на вопросы ребят, классные истории и советы 😄
Ну и конечно, в виде бонуса итоговая табличка с наиболее популярными CTF в конце статьи.
Так что приятного чтения, надеюсь вам понравится также, как и мне!
#ctf #habr
Хабр
Соревнования Capture The Flag (CTF) и все, что вы о них еще не знали
Привет! Меня зовут Анна Шабалина, и я работаю в Swordfish Security. Этой статьей я открываю нашу новую рубрику #досугбезопасника. Мы частенько организовываем, наблюдаем или обсуждаем CTF, и...
Легальное клонирование приложений в Android 14
Вот это интересные новости, начиная с Android 14 появляется системная возможность клонирования приложений. То есть, можно поставить рядом, например, две копии мессенджера, который позволяет работать только с одного аккаунта или игр или чего угодно.
Чтобы включить эту возможность, надо зайти в Настройки -> Приложения -> Склонированные приложения (Settings > Apps > Cloned Apps)
Для нас это значит, что может быть сильно проще тестировать разные баги, связанные с некорректной авторизацией, иметь несколько приложений с разными аккаунтами или просто не бояться совсем «убить» один из клонов.
А на самом деле, это сильно напоминает историю с твиками для Jailbreak. Apple долгое время (и по сей день), борется с джейлом, но самые популярные твики со временем были перенесены в сам iOS. Раз люди этим активно пользуется, значит это может быть удобно и полезно.
И этом случае все аналогично, огромное количество приложений, которые помогают клонировать приложения на Android и вот эта фича уже в релизе :) Удобно!
#android #clone #news
Вот это интересные новости, начиная с Android 14 появляется системная возможность клонирования приложений. То есть, можно поставить рядом, например, две копии мессенджера, который позволяет работать только с одного аккаунта или игр или чего угодно.
Чтобы включить эту возможность, надо зайти в Настройки -> Приложения -> Склонированные приложения (Settings > Apps > Cloned Apps)
Для нас это значит, что может быть сильно проще тестировать разные баги, связанные с некорректной авторизацией, иметь несколько приложений с разными аккаунтами или просто не бояться совсем «убить» один из клонов.
А на самом деле, это сильно напоминает историю с твиками для Jailbreak. Apple долгое время (и по сей день), борется с джейлом, но самые популярные твики со временем были перенесены в сам iOS. Раз люди этим активно пользуется, значит это может быть удобно и полезно.
И этом случае все аналогично, огромное количество приложений, которые помогают клонировать приложения на Android и вот эта фича уже в релизе :) Удобно!
#android #clone #news
XDA
Android 14 could let you clone apps so you can use two accounts at the same time
Android 14 is preparing to add an app cloning feature that will let you clone an app so you can use two accounts at the same time.
Про хранение секретов в приложении и на устройстве
В процессе выступления на Mobius, один из слушателей скинул классную статью про хранение секретов в приложении на iOS, как их достать, что из них можно получить и рекомендацию, как можно попробовать сделать это менее палевно.
Кстати, в качестве примера используется приложение
#secrets #ios
В процессе выступления на Mobius, один из слушателей скинул классную статью про хранение секретов в приложении на iOS, как их достать, что из них можно получить и рекомендацию, как можно попробовать сделать это менее палевно.
Кстати, в качестве примера используется приложение
Swordfish.app, но это совпадение, правда-правда!! 😁😁😁#secrets #ios
NSHipster
Secret Management on iOS
One of the great unsolved questions in iOS development is, “How do I store secrets securely on the client?”
Снова анализируем Flutter
Сколько было уже сказано и написано про Flutter и сложность его анализа.
А вот ещё несколько статей на тему того, как анализировать приложения, собранные в release режиме. Весьма полезно и информативно.
Первая часть статьи знакомит нас с особенностями Flutter, его структурой и режимами сборки.
Вторая часть уже более практическая, с примерами кода и тестовым приложением для анализа.
Рекомендую тем, кто сталкивается с анализом Flutter приложений и хочет узнать что-то новое про способы взаимодействия с ними.
#flutter #analisys
Сколько было уже сказано и написано про Flutter и сложность его анализа.
А вот ещё несколько статей на тему того, как анализировать приложения, собранные в release режиме. Весьма полезно и информативно.
Первая часть статьи знакомит нас с особенностями Flutter, его структурой и режимами сборки.
Вторая часть уже более практическая, с примерами кода и тестовым приложением для анализа.
Рекомендую тем, кто сталкивается с анализом Flutter приложений и хочет узнать что-то новое про способы взаимодействия с ними.
#flutter #analisys
Medium
Flutter Hackers: Uncovering the Dev’s Myopia (Part 1)
Life hack for understanding Flutter Application through source code leaks
AFL для фаззинга Android-приложений
Всем привет!
Нашел очень-очень интересную статью по использованию всеми любимого фаззера AFL++ для Android-приложений, с использованием Frida-режима.
Я, к сожалению, не очень силен в фаззинге, но даже мне стало интересно скрещивание этих двух монстров :)
Статья рассказывает нам, как провести тестирование нативных библиотек в различных режимах непосредственно на Android-устройстве. В статье это Samsung Galaxy A32 c Android 12 на борту и, чтобы все прошло успешно, необходимо собрать AFL++ под Android 🧐
Детально не садился, не разбирал, но судя по беглому взгляду рассказывается на трех примерах:
- standard native function
- JNI function that does not have a specific dependency on the application's bytecode
- JNI function that interacts with the application bytecode
И каждый из них детально разбирается и поясняется.
В общем, крайне интересно и, вероятно, может быть полезно!
И есть отсылка к крайне занятному инструменту - fpicker-aflpp-android, еще не смотрел, но примерно про тоже)
#android #fuzzing
Всем привет!
Нашел очень-очень интересную статью по использованию всеми любимого фаззера AFL++ для Android-приложений, с использованием Frida-режима.
Я, к сожалению, не очень силен в фаззинге, но даже мне стало интересно скрещивание этих двух монстров :)
Статья рассказывает нам, как провести тестирование нативных библиотек в различных режимах непосредственно на Android-устройстве. В статье это Samsung Galaxy A32 c Android 12 на борту и, чтобы все прошло успешно, необходимо собрать AFL++ под Android 🧐
Детально не садился, не разбирал, но судя по беглому взгляду рассказывается на трех примерах:
- standard native function
- JNI function that does not have a specific dependency on the application's bytecode
- JNI function that interacts with the application bytecode
И каждый из них детально разбирается и поясняется.
В общем, крайне интересно и, вероятно, может быть полезно!
И есть отсылка к крайне занятному инструменту - fpicker-aflpp-android, еще не смотрел, но примерно про тоже)
#android #fuzzing
Quarkslab's blog
Android greybox fuzzing with AFL++ Frida mode
This article is about greybox fuzzing of userland targets that can be encountered in Android using AFL++ and its Frida mode. We also discuss how to target JNI functions, to test the native features invoked by Java code.
Комментарий с выступления на Mobius.
Вот за это я и люблю выступать на различных конференциях.
Когда после твоего доклада у аудитории остается заинтересованность и желание покопаться в своем коде и взглянуть на функциональность немного с другой стороны.
Пусть у нескольких людей, пусть в нескольких приложениях, но мы стали немного защищеннее. Я не устану говорить, что те, кто пришли в нашу профессию должны помнить - мы стараемся ради пользователей и обычных людей, чтобы было невозможно их обмануть, вытащить их данные или каким бы то ни было способом навредить, а не ради метрик и показателей.
И спасибо всем, кто оставляет комментарии, это очень важно для спикеров и авторов. Причем неважно, позитивные они или негативные, главное, конструктивно. Это помогает делать контент лучше в следующий раз или вообще его делать :)
Всем хорошего солнечного дня!
#comments #mobius #talk
Вот за это я и люблю выступать на различных конференциях.
Когда после твоего доклада у аудитории остается заинтересованность и желание покопаться в своем коде и взглянуть на функциональность немного с другой стороны.
Пусть у нескольких людей, пусть в нескольких приложениях, но мы стали немного защищеннее. Я не устану говорить, что те, кто пришли в нашу профессию должны помнить - мы стараемся ради пользователей и обычных людей, чтобы было невозможно их обмануть, вытащить их данные или каким бы то ни было способом навредить, а не ради метрик и показателей.
И спасибо всем, кто оставляет комментарии, это очень важно для спикеров и авторов. Причем неважно, позитивные они или негативные, главное, конструктивно. Это помогает делать контент лучше в следующий раз или вообще его делать :)
Всем хорошего солнечного дня!
#comments #mobius #talk
Выступаем на OFFZONE 2023!
Всем привет!
Уже совсем скоро пройдет очередная конференция OFFZONE! И лично для меня то одно из самых любимых мероприятий!
И если вы хотели бы выступить с докладом или подсветить какие-то исследования или рассказать что-то связанное с безопасностью - добро пожаловать в Call For Papers!
Он продлится до 17 июля и я уверен, докладов по мобилкам должно быть много! (очень на это надеюсь)
Так что подавайтесь, не стесняйтесь, выступать и делиться своими мыслями и идеями это действительно круто!
#offzone2023 #cfp
Всем привет!
Уже совсем скоро пройдет очередная конференция OFFZONE! И лично для меня то одно из самых любимых мероприятий!
И если вы хотели бы выступить с докладом или подсветить какие-то исследования или рассказать что-то связанное с безопасностью - добро пожаловать в Call For Papers!
Он продлится до 17 июля и я уверен, докладов по мобилкам должно быть много! (очень на это надеюсь)
Так что подавайтесь, не стесняйтесь, выступать и делиться своими мыслями и идеями это действительно круто!
#offzone2023 #cfp
OFFZONE 2024
Call for papers
Join OFFZONE as a speaker! Apply before July 12
Ну и конечно, приходите на AppSec.Zone!
Исторически так сложилось, что каждый год я принимаю участие в организации AppSec Zone и каждый год доклады все круче и круче!
Все, что вы хотели знать об AppSec, но боялись спросить, доклады от тех, кто прошел большой путь в выстраивании процессов, находил крутые уязвимости или придумал новый способ анализа сервисов.
Все, кто хочет, могут или податься официально или, если сомневаетесь или стесняетесь - пишите мне в личные сообщения, помогу определиться с темой, уговорю выступить, подарю ништяки =)
Ну и конечно, больше докладов про мобильные приложения богу конференций! 😄
#appsec #offzone2023 #cfp
Исторически так сложилось, что каждый год я принимаю участие в организации AppSec Zone и каждый год доклады все круче и круче!
Все, что вы хотели знать об AppSec, но боялись спросить, доклады от тех, кто прошел большой путь в выстраивании процессов, находил крутые уязвимости или придумал новый способ анализа сервисов.
Все, кто хочет, могут или податься официально или, если сомневаетесь или стесняетесь - пишите мне в личные сообщения, помогу определиться с темой, уговорю выступить, подарю ништяки =)
Ну и конечно, больше докладов про мобильные приложения богу конференций! 😄
#appsec #offzone2023 #cfp
Forwarded from OFFZONE
В прошлом году было много крутых докладов на разные темы: open-source SAST, Private Sandbox, поиск секретов в кодобазе, особенности современного анализа защищенности веб-приложений и другие.
Если вам есть что рассказать, вы любите необычные уязвимости и жить не можете без кавычек, ждем на AppSec.Zone с докладом!
Спикеры, прошедшие отбор, получат бесплатный билет на OFFZONE и приятные бонусы.
Подать заявку можно на почту appsec@offzone.moscow
Please open Telegram to view this post
VIEW IN TELEGRAM
Mobile AppSec World
Frida для начинающих Всем привет! Что-то последнее время часто встречаю гайды для только вкатывающихся в тему безопасности мобилок. И вот такой гайд, я бы даже назвал его методичкой по использованию Frida. Весьма неплохой, есть и обычные примеры для начинающих…
Продвинутое использование Frida. Часть 1
А вот и продвинутое использование Frida вслед за гайдом для начинающих.
Статья примечательна тем, что рассматривает решение практического сценария в одном из приложений с использованием Frida, попутно объясняя, зачем делается то или иное действие и к чему они приводят. Это уже весьма неплохой гайд с точи зрения понимания возможностей Frida и, может быть, примеров различных взаимодействий с нативными функциями.
Статья не очень большая и решает одну конкретную задачу в конкретном приложении, но может быть интересна тем, кто более плотно изучает frida для анализа iOS-приложений.
Вообще достаточно интересный блог у этой компании, подписался на него, буду периодически давать ссылки на них, если будет что-то интересное. Особо примечателен он тем, что много информации об iOS, что не часто встретишь, обычно любят рассматривать на примере более простого в понимании Android. И, что самое главное - он свежий, публикации за прошлый месяц этого года, что тоже немаловажно, так как все очень быстро развивается в мире мобильных приложений.
В любом случае, приятного и полезного чтения!
#iOS #frida #tutorial
А вот и продвинутое использование Frida вслед за гайдом для начинающих.
Статья примечательна тем, что рассматривает решение практического сценария в одном из приложений с использованием Frida, попутно объясняя, зачем делается то или иное действие и к чему они приводят. Это уже весьма неплохой гайд с точи зрения понимания возможностей Frida и, может быть, примеров различных взаимодействий с нативными функциями.
Статья не очень большая и решает одну конкретную задачу в конкретном приложении, но может быть интересна тем, кто более плотно изучает frida для анализа iOS-приложений.
Вообще достаточно интересный блог у этой компании, подписался на него, буду периодически давать ссылки на них, если будет что-то интересное. Особо примечателен он тем, что много информации об iOS, что не часто встретишь, обычно любят рассматривать на примере более простого в понимании Android. И, что самое главное - он свежий, публикации за прошлый месяц этого года, что тоже немаловажно, так как все очень быстро развивается в мире мобильных приложений.
В любом случае, приятного и полезного чтения!
#iOS #frida #tutorial
8kSec - 8kSec is a cybersecurity research & training company. We provide high-quality training & consulting services.
Advanced Frida Usage Part 1 – iOS Encryption Libraries | 8kSec Blogs
In Advanced Frida Usage Part 1 - Explore how to decrypt EncryptedStore, interact with encrypted databases and perform AES encryption / decryption.
SQL Injection в Android-приложениях
Вчера, общаясь на PhDays с коллегами, была поднята тема безопасности мобильных приложений и наиболее интересных уязвимостях в них.
Вот одна из интересных реальных инъекций в приложение, которая позволяет получать информацию из внутренней базы данных, а также любые файлы из внутренней песочницы приложения.
Это к слову о том, что данные во внутренней директории не нужно шифровать, так как они уже защищены средствами системы. НЕТ, не надо так больше, пожалуйста :)
Так что да, инъекции, хоть и не так часто, но встречаются в мобилках и последствия от них могут быть самыми серьёзными.
#injection #android #sql
Вчера, общаясь на PhDays с коллегами, была поднята тема безопасности мобильных приложений и наиболее интересных уязвимостях в них.
Вот одна из интересных реальных инъекций в приложение, которая позволяет получать информацию из внутренней базы данных, а также любые файлы из внутренней песочницы приложения.
Это к слову о том, что данные во внутренней директории не нужно шифровать, так как они уже защищены средствами системы. НЕТ, не надо так больше, пожалуйста :)
Так что да, инъекции, хоть и не так часто, но встречаются в мобилках и последствия от них могут быть самыми серьёзными.
#injection #android #sql
GitHub Security Lab
GHSL-2022-059_GHSL-2022-060: SQL injection vulnerabilities in Owncloud Android app - CVE-2023-24804, CVE-2023-23948
The Owncloud Android app uses content providers to manage its data. The provider FileContentProvider has SQL injection vulnerabilities that allow malicious applications or users in the same device to obtain internal information of the app. The app also handles…
Фреймворки тестирования мобильных приложений
Внутри нашего продукта Стингрей для автоматизации действий пользователя в приложении у нас есть два решения:
- Использование нашего механизма записи и воспроизведения тестовых сценариев (основан на координатах и перехвате функций по взаимодействию с UI приложения)
- Использование Appium-скриптов для взаимодействия с UI приложения
Это дает возможность использовать автоматизацию как пользователям, которые не умеют/не хотят заниматься программированием, так и тем, кто хочет большей гибкости при написании тестовых сценариев и умеет обращаться с кодом.
Фреймворк Appium был выбран нами не случайно, а как универсальное решение для iOS и Android устройств и так привычному нам подобию Selenium по синтаксису. Но возникает вопрос, а настолько ли популярен Appium и настолько ли универсален? Так как мы развиваемся и хотим добавить еще некоторые фреймворки есть вопрос, а какой фреймворк тестирования сейчас наиболее популярен и распространен? Я скину опрос чуть ниже, чтобы понять, куда нам рзвиваться и в какую сторону еще посмотреть.
И еще дело в том, что ко мне обратились коллеги из Касперского, которые создали свой собственный фреймворк для тестирования мобильных приложений - Kaspresso. К большому сожалению, я не большой эксперт в подобных вещах, но большое количество форков и звезд на гитхабе говорит о том, что люди им пользуются.
А в скором времени (24-го мая), коллеги проведут вебинар, в котором расскажут, как они вынесли этот фремворк в OpenSource, с какими трудностями внутри и снаружи столкнулись и как их преодолели. На мой взгляд, всем, кто делает собственные OpenSource-проекты можно послушать и, возможно, взять на заметку какие-то вещи. В любом случае, думаю, что это будет действительно интересно.
Я обязательно приду послушать, так что встретимся там)
#automation #appium #kaspersky #webinar
Внутри нашего продукта Стингрей для автоматизации действий пользователя в приложении у нас есть два решения:
- Использование нашего механизма записи и воспроизведения тестовых сценариев (основан на координатах и перехвате функций по взаимодействию с UI приложения)
- Использование Appium-скриптов для взаимодействия с UI приложения
Это дает возможность использовать автоматизацию как пользователям, которые не умеют/не хотят заниматься программированием, так и тем, кто хочет большей гибкости при написании тестовых сценариев и умеет обращаться с кодом.
Фреймворк Appium был выбран нами не случайно, а как универсальное решение для iOS и Android устройств и так привычному нам подобию Selenium по синтаксису. Но возникает вопрос, а настолько ли популярен Appium и настолько ли универсален? Так как мы развиваемся и хотим добавить еще некоторые фреймворки есть вопрос, а какой фреймворк тестирования сейчас наиболее популярен и распространен? Я скину опрос чуть ниже, чтобы понять, куда нам рзвиваться и в какую сторону еще посмотреть.
И еще дело в том, что ко мне обратились коллеги из Касперского, которые создали свой собственный фреймворк для тестирования мобильных приложений - Kaspresso. К большому сожалению, я не большой эксперт в подобных вещах, но большое количество форков и звезд на гитхабе говорит о том, что люди им пользуются.
А в скором времени (24-го мая), коллеги проведут вебинар, в котором расскажут, как они вынесли этот фремворк в OpenSource, с какими трудностями внутри и снаружи столкнулись и как их преодолели. На мой взгляд, всем, кто делает собственные OpenSource-проекты можно послушать и, возможно, взять на заметку какие-то вещи. В любом случае, думаю, что это будет действительно интересно.
Я обязательно приду послушать, так что встретимся там)
#automation #appium #kaspersky #webinar
GitHub
GitHub - KasperskyLab/Kaspresso: Android UI test framework
Android UI test framework . Contribute to KasperskyLab/Kaspresso development by creating an account on GitHub.
Какой фреймворк тестирования мобильных приложений вы используете?
Anonymous Poll
35%
Appium
32%
Espresso
20%
UIAutomator
4%
Robotium
5%
MonkeyRunner
4%
Ranorex
21%
XCUITest