Эксплуатация уязвимостей в Deeplink и Webview

Цикл статей из двух частей (раз и два) про эксплуатацию различных проблем, связанных с технологиями deeplink и WebView.

Первая часть рассказывает о том, что такое webview, а также показывает возможность эксплуатации XSS и доступа к Java-объектам.

Вторая часть уже про диплинки и проблемы, связанные с ними. Традиционно, сначала немного теории про сами технологии и компоненты, после примеры эксплуатации уязвимостей.

Статьи неплохие, особенно радует большое количество отсылок на разные инструменты, которые помогут вам найти диплинки как в статике, так и в динамике, через Frida.

#android #deeplink #webview

Тут еще в канале Фокса годноты привалило :)

Крайне интересная и безумно полезная книга по дебаггингу и реверсу приложений экосистемы Apple.

Скачал и положил в папочку нужных и важных книг, обязательных к прочтению! Когда-нибудь... Когда будет время :D Ну вы поняли... ))

Deobfuscating Android ARM64 strings with Ghidra

Очень подробная и очень интересная статья про то, как можно автоматизировать процесс деобфускации строк в приложении с использованием Ghidra. Пример, конечно, надуманный, но общий смысл задает верно и на практике можно в подобных случаях воспользоваться идеей.

Но намного более интересно, это подробное описание взаимодействия с Ghidra, как использовать, как отлаживать, как автоматизировать через Python.

Очень советую тем, кто работает с этим инструментом или планирует изучать.

#android #ghidra #reverse

Еще можно успеть послушать!

И надеемся, конечно, на запись :)

Сегодня выступаю на нижегородском defcon.
Трансляция будет здесь в 15:40 там должна быть наша презентация
RutheniumOS. Забота о себе, или зачем нужна ещё одна приватная ОС на базе AOSP

Как разработать собственный сканер уязвимостей и спроектировать безопасный сервис аутентификации

Об этом и не только вы узнаете на конференции по безопасности приложений SafeCode 2024.

Конференция SafeCode пройдет впервые 13–14 марта онлайн. На ней соберутся эксперты и аналитики по ИБ, security-чемпионы, тестировщики, пентестеры, разработчики, хакеры, системные администраторы, DevOps- и SRE-инженеры.

Основные темы программы:
✔ DevSecOps
✔ Аналитика
✔ ML
✔ Инструменты
✔ Люди и карьера

Два десятка докладов от экспертов в области безопасности приложений из СберМаркета, Kaspersky, Яндекса, Авито, VK Tech. Также вас ждут обсуждения от Программного комитета — в формате круглого стола и интервью с экспертами отрасли.

Подробности и билеты — на сайте SafeCode.

Загляните в нашу статью о том, как убедить работодателя отправить вас на конференцию. Но если решите купить билет за свой счет, то промокод POXEK даст скидку 10% на билеты для частных лиц.

Реклама. ООО «Джуг Ру Груп». ИНН 7801341446

И я там буду выступать, снова про мобилки:

Страх и ненависть в мобильных приложениях: какие уязвимости актуальны до сих пор и как их найти?

Поговорим про баги, какие они бывают, что они с собой несут, как их искать и устранять :)

Присоединяйтесь, будет весело!

Все приложения в RuMarket проверяют на безопасность. Но мы пошли еще дальше и подружились с сервисом «Стингрей».

«Стингрей» выполняет тщательную проверку приложений. С его помощью разработчики могут узнать о уязвимостях, которые не обнаружит ни один другой инструмент. Причем сервис предлагает подробные рекомендации о том, как все поправить.

Если разработчики воспользовались «Стингрей» и учли замечания, модераторы RuMarket ставят приложению галочку проверки — так вы будете знать, что все хорошо.

RuMarket

Интеграция с RuMarket

А вот такой повод я не могу пропустить :)

Помните статью про сторы и то, как мы загружали туда нашпигованное уязвимостями приложение?

Так вот, теперь наш продукт Стингрей официально интегрирован с магазином приложений RuMarket! Теперь каждое загружаемое приложение будет проверено нами и разработчик получит отчет о том, что можно улучшить в его продукте.

Я считаю это очень важным шагом в развитии безопасности мобильных приложений и что теперь каждое приложение, которое будет загружено получит возможность узнать, что скрывается внутри с точки зрения безопасности.

Мы будем наращивать количество проверок и возможностей в этой интеграции и уверены, что в следующем нашем исследовании приложения станут намного безопаснее ;)

#Стингрей #rumarket

В какие игры вы играете?

Всем привет! Прошу вас поучаствовать в небольшом опросе на развлекательную тему.

Я тут небольшую статью пишу, расскажите, пожалуйста, если вы играете иногда, то во что?

Я старый, поэтому иногда играю в CS 1.6 и в Героев 3 (те, что меча и магии).

Опрос с несколькими вариантами ответа, если есть другие варианты, напишите, пожалуйста, в комментариях :)

Если выбрали вариант «Другое», напишите вариант в комментах, пожалуйста)

Минутка эфира

Коллеги из Awillix завтра (вернее уже сегодня) затронут очень интересную тему, из чего состоит стоимость пентеста?

Крайне занятая тема, для начала она достаточно приватная и щепетильная. Почему вам называют одну цену, а компании за стеной совершенно другую?

У меня есть соображения, но крайне интересно послушать мнение коллег.

Продолжаем разбирать прикольные уязвимости. На этот раз у нас уязвимость в библиотеке Jetpack Navigation. Суть ее в том, что она позволяет стороннему приложению открыть любой экран атакуемого приложения и передать туда параметры. Круто звучит? Вот и я так думаю. А Google не считает это уязвимостью и после получения репорта нам ответили, что "поправят документацию". Не будь как Google, исправляй ошибки в своих приложениях! И знай чем грозит использование библиотеки Navigation.

Территория Безопасности: Все про ИБ

4-го апреля в Москве пройдет конференция по Безопасности под названием «Территория Безопасности: Все про ИБ».

Я участвую там со стендом и докладом! Как обычно, у нас будет весело :)
Много активностей, приятные люди на стендах, живое общение, печеньки и конкурсы :)

Несмотря на более серьезное мероприятие, мы приготовили много интересного ;)

Регистрация доступна по ссылке, приходите, послушайте и поиграйте с нами :)

#proib #территорияБезопасности

:D

SSRF in Mobile Security Framework (MobSF) version 3.9.5 Beta and prior (CVE-2024-29190)
MobSF does not perform any input validation when extracting the hostnames in android:host, so requests can also be sent to local hostnames. This can lead to server-side request forgery (SSRF). An attacker can cause the server to make a connection to internal-only services within the organization's infrastructure
https://github.com/MobSF/Mobile-Security-Framework-MobSF/security/advisories/GHSA-wfgj-wrgh-h3r3

Любите ли вы играть и геймдев?)

Помните, некоторое время назад я проводил опрос по играм?

Мы готовили материал и он наконец-то вышел!

На мой взгляд, получилась шикарная статья. Когда ее читал, вспомнил, как играли с друзьями когда-то, как карты для Heroes 3 рисовали, по локалке играли на турнирах в CS 1.6

Вот же было время!

В общем, получилась классная смесь из воспоминаний и фактов о безопасности этих самых игр.

Спасибо всем, кто писал этот материал :)

И приятного чтения :)

#gamedev #security

Make drozer great again

Не могу пройти мимо этой новости, спустя 7 долгих лет произошло обновление любимого многими инструмента drozer

Теперь он поддерживает python3! И очень надеюсь на добавление нового функционала.

Плюс, авторы обновили и репо с уязвимым приложением, которое показывает основные уязвимости Android приложений.
Ну и небольшое прохождение, которое показывает возможности drozer.

Пока что не поддерживается запуск на Windows и есть определенные проблемы со стабильностью в ряде случаев, но все равно это по настоящему возрождение легенды :)

#drozer #android