Придешь 06 июня на Mobile Appsec Club #2?
Anonymous Poll
25%
Да, конечно! 👍
34%
Нет, не смогу 👎
42%
Пока не знаю, но если получится обязательно буду!
Про хранение Third-party секретов в мобилках и неправильно настроенные Security-политики внешних сервисов
Настраиваем проксирование Windows-Flutter приложений
И снова про флаттер) Как-тов моей копилке собралось много материала по нему…
Но на этот раз это будут приложения, которые написаны под Windows. Весьма необычно и крайне мало информации про это.
Статья рассказывает, как устроены Flutter приложения, когда они собраны в exe файл. И главное, как настроить перехват трафика и как отключить SSL Pinning при помощи Frida. Автор любезно выложил проект на гитхаб, помимо детального описания работы в самой статье.
Конечно, не все так гладко у автора прошло и он не смог решить несколько вещей, которые (возможно), оставил на потом. Но как минимум одно рабочее решение точно есть 😅
Быть может, кому-то это будет полезно, особенно, если нужно собрать трафик, но нет опыта работы с мобильными приложениями.
Приятного чтения!
#flutter #windows #proxy #sslpinning
И снова про флаттер) Как-тов моей копилке собралось много материала по нему…
Но на этот раз это будут приложения, которые написаны под Windows. Весьма необычно и крайне мало информации про это.
Статья рассказывает, как устроены Flutter приложения, когда они собраны в exe файл. И главное, как настроить перехват трафика и как отключить SSL Pinning при помощи Frida. Автор любезно выложил проект на гитхаб, помимо детального описания работы в самой статье.
Конечно, не все так гладко у автора прошло и он не смог решить несколько вещей, которые (возможно), оставил на потом. Но как минимум одно рабочее решение точно есть 😅
Быть может, кому-то это будет полезно, особенно, если нужно собрать трафик, но нет опыта работы с мобильными приложениями.
Приятного чтения!
#flutter #windows #proxy #sslpinning
Medium
Flutter Windows Thick Client SSL Pinning Bypass
I recently worked on a Flutter-based application and learned that it is different from other hybrid frameworks like React Native or…
Не про мобилки, но про контейнеры
Всем привет!
Знаю, что у вас широкий кругозор и разные интересы, которые не ограничиваются одними мобильными приложениями.
Поэтому, представляю вашему вниманию отличный вебинар от моих коллег по Container Security!
Приятного просмотра!
Всем привет!
Знаю, что у вас широкий кругозор и разные интересы, которые не ограничиваются одними мобильными приложениями.
Поэтому, представляю вашему вниманию отличный вебинар от моих коллег по Container Security!
Приятного просмотра!
Forwarded from Security Champions (Leila Galimova)
Друзья, запись вебинара «Container Security: как обеспечить безопасность контейнеров в жизненном цикле разработки ПО» уже ждет вас на нашем YouTube-канале ▶️
Также предлагаем вам закрепить полученные знания и навыки с помощью бесплатного демо-тренинга по Container Security.
🧑💻Программа тренинга:
1. Основы безопасности контейнеров.
2. Практики и нюансы.
3. Основные уязвимости и механики атак.
4. Тестирование для самопроверки.
Чтобы получить демо-доступ программы обучения на нашей платформе, укажите ключевое слово «контейнер» в форме для связи на нашем сайте.
Благодарим вас за участие и надеемся увидеть вас на наших следующих мероприятиях!
Запись доступна по ссылке 👈
Также предлагаем вам закрепить полученные знания и навыки с помощью бесплатного демо-тренинга по Container Security.
🧑💻Программа тренинга:
1. Основы безопасности контейнеров.
2. Практики и нюансы.
3. Основные уязвимости и механики атак.
4. Тестирование для самопроверки.
Чтобы получить демо-доступ программы обучения на нашей платформе, укажите ключевое слово «контейнер» в форме для связи на нашем сайте.
Благодарим вас за участие и надеемся увидеть вас на наших следующих мероприятиях!
Запись доступна по ссылке 👈
Mobile AppSec World
Встреча Mobile AppSec Club в Москве! Всем привет! В прошлый раз мы с вами встречались в октябре прошлого года и, как мне кажется, все прошло очень круто! Я был очень рад видеть всех вживую, пообщаться, рассказать свои истории, послушать других) Очень классный…
Маленькое напоминание Mobile AppSec Club
Друзья, PHDays кончился, все возвращаемся потихоньку в рабочее русло, читаем каналы, чаты))
Поэтому "Up" этому сообщению, отмечайтесь в голосовалке, если придете, это очень важно =)
И конечно, очень-очень всех жду!
Друзья, PHDays кончился, все возвращаемся потихоньку в рабочее русло, читаем каналы, чаты))
Поэтому "Up" этому сообщению, отмечайтесь в голосовалке, если придете, это очень важно =)
И конечно, очень-очень всех жду!
Защита от атак на Supply Chain, пособие для gradle
Всем привет!
В начале года была новость про атаку на цепочку поставок под названием MavenGate. И мы в своем продукте Стингрей очень быстро добавили возможность анализа на эту атаку.
И спустя некоторое время нашел очень подробную статью про техники защиты от подобных атак. Конечно, мы тоже давали рекомендации, но тут они максимально подробно расписаны и на примерах показано как и что нужно сделать.
На практике я пока ни разу не видел применение этих техник, но надеюсь, что в ближайшем будущем это станет обязательным при разработке приложений.
Всем, кто использует gradle рекомендую и советую.
#gradle #supplychain #defence
Всем привет!
В начале года была новость про атаку на цепочку поставок под названием MavenGate. И мы в своем продукте Стингрей очень быстро добавили возможность анализа на эту атаку.
И спустя некоторое время нашел очень подробную статью про техники защиты от подобных атак. Конечно, мы тоже давали рекомендации, но тут они максимально подробно расписаны и на примерах показано как и что нужно сделать.
На практике я пока ни разу не видел применение этих техник, но надеюсь, что в ближайшем будущем это станет обязательным при разработке приложений.
Всем, кто использует gradle рекомендую и советую.
#gradle #supplychain #defence
Telegram
Mobile AppSec World
И снова про MavenGate!
Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.
И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака…
Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.
И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака…
Please open Telegram to view this post
VIEW IN TELEGRAM
Анализ и патч DEX-файлов
Как правило модификация приложений происходит через распаковку Android-приложения до smali-кода (например, через apktool), изменение и потом запаковку обратно.
В статье используют немного другой подход, работу напрямую с dex-файлами при помощи инструмента dexmod
Весьма необычный подход, даже не знаю, для чего его лучше использовать. Ну, в статье приводится интересный пример, конечно, когда внутри dex-файла заменяют обфусуированные значения обычными, что упрощает анализ, но все равно похоже на частный случай.
Тем не менее статья интересна теоретической частью про структуру dex-файлов и способах их анализа.
В любом случае, весьма интересно было изучить.
Приятного чтения!
#dex #android #patch
Как правило модификация приложений происходит через распаковку Android-приложения до smali-кода (например, через apktool), изменение и потом запаковку обратно.
В статье используют немного другой подход, работу напрямую с dex-файлами при помощи инструмента dexmod
Весьма необычный подход, даже не знаю, для чего его лучше использовать. Ну, в статье приводится интересный пример, конечно, когда внутри dex-файла заменяют обфусуированные значения обычными, что упрощает анализ, но все равно похоже на частный случай.
Тем не менее статья интересна теоретической частью про структуру dex-файлов и способах их анализа.
В любом случае, весьма интересно было изучить.
Приятного чтения!
#dex #android #patch
Mandiant
Delving into Dalvik: A Look Into DEX Files | Mandiant
Инъекции кода в Android без использования ptrace
Детальная, подробная, техническая статья про проект, который позволяет инжектить код в процессы на Android без использования ptrace.
Очень круто описан и сам процесс, как заинжектить код, как технически это возможно и рассказ автора про свой путь написания.
На мой взгляд, это конечно, не полноценный и готовый проект, но очень интересный посыл и, возможно способ обойти некоторые изощренные проверки :) ну и в целом крайне познавательно понимать, как именно все это работает изнутри, хотя и все-таки достаточно сложно.
Радует большое количество отсылок к различным статьям, так что вдумчивое чтение не на один час 😅
Приятного изучения!
#android #ptrace #libinjection
Детальная, подробная, техническая статья про проект, который позволяет инжектить код в процессы на Android без использования ptrace.
Очень круто описан и сам процесс, как заинжектить код, как технически это возможно и рассказ автора про свой путь написания.
На мой взгляд, это конечно, не полноценный и готовый проект, но очень интересный посыл и, возможно способ обойти некоторые изощренные проверки :) ну и в целом крайне познавательно понимать, как именно все это работает изнутри, хотя и все-таки достаточно сложно.
Радует большое количество отсылок к различным статьям, так что вдумчивое чтение не на один час 😅
Приятного изучения!
#android #ptrace #libinjection
erfur's bits and pieces
Code injection on Android without ptrace
Forwarded from Security Champions (Leila Galimova)
Как провести фаззинг REST API с помощью RESTler
В статье на Хабре Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security, расскажет, как провести фаззинг-тестирование API c помощью инструмента RESTler, имея на руках только спецификацию API.
Статья написана в соавторстве с инженером по безопасности Swordfish Security, Артемом Мурадяном. Читать статью.
В статье на Хабре Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security, расскажет, как провести фаззинг-тестирование API c помощью инструмента RESTler, имея на руках только спецификацию API.
Статья написана в соавторстве с инженером по безопасности Swordfish Security, Артемом Мурадяном. Читать статью.
Хабр
Как провести фаззинг REST API с помощью RESTler
Вступление Привет, Хабр! С вами Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security. Современная разработка программного обеспечения требует...
Тестирование API
Мои коллеги из Swordfish Security (кстати репост с нашего канала, рекомендую подписаться), написали уже ряд статей по тестированию API при помощи инструмента RESTler. А также выступили с докладом по аналогичной тематике на PHDays.
На самом деле удивительно, но весьма интересный инструмент, который после статей ребят раскрылся для меня с новой стороны. Вполне возможно, что в будущем мы рассмотрим его в качестве движка для тестирования API в Стинг. В каждом из инструментов есть свои сложности, но на первый взгляд выглядит, как неплохое начало.
В общем, однозначно рекомендую и канал и статьи и инструмент :)
Хорошего вечера воскресенья!
#rest #apisecurity #restler #swordfish
Мои коллеги из Swordfish Security (кстати репост с нашего канала, рекомендую подписаться), написали уже ряд статей по тестированию API при помощи инструмента RESTler. А также выступили с докладом по аналогичной тематике на PHDays.
На самом деле удивительно, но весьма интересный инструмент, который после статей ребят раскрылся для меня с новой стороны. Вполне возможно, что в будущем мы рассмотрим его в качестве движка для тестирования API в Стинг. В каждом из инструментов есть свои сложности, но на первый взгляд выглядит, как неплохое начало.
В общем, однозначно рекомендую и канал и статьи и инструмент :)
Хорошего вечера воскресенья!
#rest #apisecurity #restler #swordfish
Telegram
Security Champions
Официальный канал ГК Swordfish Security. Мы помогаем компаниям выстраивать качественный и эффективный процесс безопасной разработки: https://swordfish-security.ru/
💬Наш чат: https://t.me/sfsecuritychampionschat
💬Наш чат: https://t.me/sfsecuritychampionschat
Mobile AppSec World
Встреча Mobile AppSec Club в Москве! Всем привет! В прошлый раз мы с вами встречались в октябре прошлого года и, как мне кажется, все прошло очень круто! Я был очень рад видеть всех вживую, пообщаться, рассказать свои истории, послушать других) Очень классный…
Уже скоро, в четверг, встретимся с вами в баре!
Всем привет!
Уже совсем скоро мы встретимся с вами в баре на Бауманской, приходите, я буду очень-очень рад встретиться со всеми лично и поболтать за безопасность)
Сбор с 19 до 20, начало полу-официальных докладов под хорошее настроение и пиво примерно с 20-00.
В этот раз радовать вас выступлениями буду не только я (расскажу про исследование и про потрясные находки в приложениях) и рад представить вам второго спикера - Сергей Зыбнев(@szybnev), автор канала Похек, пентестер и очень позитивный человек), который расскажет нам, как он проходил квест на социальную инженерию на PhDays и что ему за это сделали)
И будет еще один участник, которого представлю чуть позже, чтобы чуть сохранить интригу от такого крутого доклада )
Stay Tuned!
Всем привет!
Уже совсем скоро мы встретимся с вами в баре на Бауманской, приходите, я буду очень-очень рад встретиться со всеми лично и поболтать за безопасность)
Сбор с 19 до 20, начало полу-официальных докладов под хорошее настроение и пиво примерно с 20-00.
В этот раз радовать вас выступлениями буду не только я (расскажу про исследование и про потрясные находки в приложениях) и рад представить вам второго спикера - Сергей Зыбнев(@szybnev), автор канала Похек, пентестер и очень позитивный человек), который расскажет нам, как он проходил квест на социальную инженерию на PhDays и что ему за это сделали)
И будет еще один участник, которого представлю чуть позже, чтобы чуть сохранить интригу от такого крутого доклада )
Stay Tuned!
Axiom-pub.eatout.ru
Пивной бар Axiom pub на Спартаковской площади (метро Бауманская, Красносельская): телефон, цены, график работы
Пивной бар Axiom pub: запись и цены, фотографии ресторана, официальный сайт, адрес: Москва, Спартаковская площадь, 16/15 ст2 (метро Бауманская, Красносельская). Телефон: +7 (967) 108-81-35.
Mobile AppSec World
Уже скоро, в четверг, встретимся с вами в баре! Всем привет! Уже совсем скоро мы встретимся с вами в баре на Бауманской, приходите, я буду очень-очень рад встретиться со всеми лично и поболтать за безопасность) Сбор с 19 до 20, начало полу-официальных…
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Android Guards
В свежем бюллетене безопасности Android есть неприметная CVE-шка c традиционно мутным описанием и не менее мутным патчем. Зачем гугл так делает - загадка. Но хорошо, что есть не только "не прекрасный" гугл, но еще и нормальные исследователи которые это нашли, зарепортили и сделали очень подробный разбор.
Суть проблемы: имея разрешение
Да, разрешение не самое простое, но во-первых его имеет
#cve
Суть проблемы: имея разрешение
WRITE_SECURE_SETTINGS
можно выполнять код от имени любого приложения в системе. Да, разрешение не самое простое, но во-первых его имеет
adb
, а во-вторых устройства и сценарии бывают разные. Поэтому однозначно рекомендую ознакомится с разбором.#cve
Meta Red Team X
Becoming any Android app via Zygote command injection
We have discovered a vulnerability in Android that allows an attacker with the WRITE_SECURE_SETTINGS permission, which is held by the ADB shell and certain privileged apps, to execute arbitrary code as any app on a device. By doing so, they can read and write…
Mobile AppSec World
Встреча Mobile AppSec Club в Москве! Всем привет! В прошлый раз мы с вами встречались в октябре прошлого года и, как мне кажется, все прошло очень круто! Я был очень рад видеть всех вживую, пообщаться, рассказать свои истории, послушать других) Очень классный…
А вот и четвертый спикер нашего уютного клуба
Всем привет! Я рад вам представить четвертого спикера нашего завтрашнего мероприятия (очень надеюсь, что не будет дождя и все доедут).
И им будет Игорь Кривонос (@AndroidDevSec), мой коллега, автор множества курсов, заслуженный тренер и шикарный пентестер!
Расскажет про разные интересные находки за время пентестов, интересные и не очень баги, соответствие требованиям и кучу других интересных штук! Я с огромным удовольствием всегда слушаю Игоря, он умеет хорошо и красиво рассказывать, да и технически всегда интересно!
#сходка #appsecmeetup #mobileappsecclub
Всем привет! Я рад вам представить четвертого спикера нашего завтрашнего мероприятия (очень надеюсь, что не будет дождя и все доедут).
И им будет Игорь Кривонос (@AndroidDevSec), мой коллега, автор множества курсов, заслуженный тренер и шикарный пентестер!
Расскажет про разные интересные находки за время пентестов, интересные и не очень баги, соответствие требованиям и кучу других интересных штук! Я с огромным удовольствием всегда слушаю Игоря, он умеет хорошо и красиво рассказывать, да и технически всегда интересно!
#сходка #appsecmeetup #mobileappsecclub
Встречаемся уже сегодня! Mobile AppSec Club #2
Всем привет!
Сегодня встречаемся в баре AXIOM PUB (Спартаковская площадь, 16/15 ст2, м. Бауманская, Красносельская).
Примерный план действий:
- С 19 до 20 ждем всех, кто приезжает и прибывает, пьем, знакомимся и веселимся
- Где-то примерно с 20 начинаем потихоньку с докладами
- Я расскажу про исследование и прикольные находки в мобилках
- Сергей Зыбнев расскажет про квест на соц. инженерию на PHD
- Александр Вир расскажет про систему Android, ее историю и особенности
- Игорь Кривонос расскжет увлекательные истории про мобильный пентест и обзор найденных багов
Ну а после свободная программа)) Если кто-то хочет рассказать историю из жизни или как-то дополнить рассказы коллег, то не стесняйтесь, времени хватит всем))
Очень жду всех, кто сможет придти и поболтать/послушать, а главное выпить с нами в этот прекрасный вечер!
#сходка #appsecmeetup #mobileappsecclub
Всем привет!
Сегодня встречаемся в баре AXIOM PUB (Спартаковская площадь, 16/15 ст2, м. Бауманская, Красносельская).
Примерный план действий:
- С 19 до 20 ждем всех, кто приезжает и прибывает, пьем, знакомимся и веселимся
- Где-то примерно с 20 начинаем потихоньку с докладами
- Я расскажу про исследование и прикольные находки в мобилках
- Сергей Зыбнев расскажет про квест на соц. инженерию на PHD
- Александр Вир расскажет про систему Android, ее историю и особенности
- Игорь Кривонос расскжет увлекательные истории про мобильный пентест и обзор найденных багов
Ну а после свободная программа)) Если кто-то хочет рассказать историю из жизни или как-то дополнить рассказы коллег, то не стесняйтесь, времени хватит всем))
Очень жду всех, кто сможет придти и поболтать/послушать, а главное выпить с нами в этот прекрасный вечер!
#сходка #appsecmeetup #mobileappsecclub
Axiom-pub.eatout.ru
Пивной бар Axiom pub на Спартаковской площади (метро Бауманская, Красносельская): телефон, цены, график работы
Пивной бар Axiom pub: запись и цены, фотографии ресторана, официальный сайт, адрес: Москва, Спартаковская площадь, 16/15 ст2 (метро Бауманская, Красносельская). Телефон: +7 (967) 108-81-35.