Про хранение Third-party секретов в мобилках и неправильно настроенные Security-политики внешних сервисов

Настраиваем проксирование Windows-Flutter приложений

И снова про флаттер) Как-тов моей копилке собралось много материала по нему…

Но на этот раз это будут приложения, которые написаны под Windows. Весьма необычно и крайне мало информации про это.

Статья рассказывает, как устроены Flutter приложения, когда они собраны в exe файл. И главное, как настроить перехват трафика и как отключить SSL Pinning при помощи Frida. Автор любезно выложил проект на гитхаб, помимо детального описания работы в самой статье.

Конечно, не все так гладко у автора прошло и он не смог решить несколько вещей, которые (возможно), оставил на потом. Но как минимум одно рабочее решение точно есть 😅

Быть может, кому-то это будет полезно, особенно, если нужно собрать трафик, но нет опыта работы с мобильными приложениями.

Приятного чтения!

#flutter #windows #proxy #sslpinning

Не про мобилки, но про контейнеры

Всем привет!

Знаю, что у вас широкий кругозор и разные интересы, которые не ограничиваются одними мобильными приложениями.

Поэтому, представляю вашему вниманию отличный вебинар от моих коллег по Container Security!

Приятного просмотра!

Друзья, запись вебинара «Container Security: как обеспечить безопасность контейнеров в жизненном цикле разработки ПО» уже ждет вас на нашем YouTube-канале ▶️

Также предлагаем вам закрепить полученные знания и навыки с помощью бесплатного демо-тренинга по Container Security.

🧑‍💻Программа тренинга:

1. Основы безопасности контейнеров.
2. Практики и нюансы.
3. Основные уязвимости и механики атак.
4. Тестирование для самопроверки.

Чтобы получить демо-доступ программы обучения на нашей платформе, укажите ключевое слово «контейнер» в форме для связи на нашем сайте.

Благодарим вас за участие и надеемся увидеть вас на наших следующих мероприятиях!

Запись доступна по ссылке 👈

Маленькое напоминание Mobile AppSec Club

Друзья, PHDays кончился, все возвращаемся потихоньку в рабочее русло, читаем каналы, чаты))
Поэтому "Up" этому сообщению, отмечайтесь в голосовалке, если придете, это очень важно =)

И конечно, очень-очень всех жду!

Защита от атак на Supply Chain, пособие для gradle

Всем привет!
В начале года была новость про атаку на цепочку поставок под названием MavenGate. И мы в своем продукте Стингрей очень быстро добавили возможность анализа на эту атаку.

И спустя некоторое время нашел очень подробную статью про техники защиты от подобных атак. Конечно, мы тоже давали рекомендации, но тут они максимально подробно расписаны и на примерах показано как и что нужно сделать.

На практике я пока ни разу не видел применение этих техник, но надеюсь, что в ближайшем будущем это станет обязательным при разработке приложений.

Всем, кто использует gradle рекомендую и советую.

#gradle #supplychain #defence

Анализ и патч DEX-файлов

Как правило модификация приложений происходит через распаковку Android-приложения до smali-кода (например, через apktool), изменение и потом запаковку обратно.

В статье используют немного другой подход, работу напрямую с dex-файлами при помощи инструмента dexmod

Весьма необычный подход, даже не знаю, для чего его лучше использовать. Ну, в статье приводится интересный пример, конечно, когда внутри dex-файла заменяют обфусуированные значения обычными, что упрощает анализ, но все равно похоже на частный случай.

Тем не менее статья интересна теоретической частью про структуру dex-файлов и способах их анализа.

В любом случае, весьма интересно было изучить.

Приятного чтения!

#dex #android #patch

Инъекции кода в Android без использования ptrace

Детальная, подробная, техническая статья про проект, который позволяет инжектить код в процессы на Android без использования ptrace.

Очень круто описан и сам процесс, как заинжектить код, как технически это возможно и рассказ автора про свой путь написания.

На мой взгляд, это конечно, не полноценный и готовый проект, но очень интересный посыл и, возможно способ обойти некоторые изощренные проверки :) ну и в целом крайне познавательно понимать, как именно все это работает изнутри, хотя и все-таки достаточно сложно.

Радует большое количество отсылок к различным статьям, так что вдумчивое чтение не на один час 😅

Приятного изучения!

#android #ptrace #libinjection

Как провести фаззинг REST API с помощью RESTler

В статье на Хабре Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security, расскажет, как провести фаззинг-тестирование API c помощью инструмента RESTler, имея на руках только спецификацию API.

Статья написана в соавторстве с инженером по безопасности Swordfish Security, Артемом Мурадяном. Читать статью.

Тестирование API

Мои коллеги из Swordfish Security (кстати репост с нашего канала, рекомендую подписаться), написали уже ряд статей по тестированию API при помощи инструмента RESTler. А также выступили с докладом по аналогичной тематике на PHDays.

На самом деле удивительно, но весьма интересный инструмент, который после статей ребят раскрылся для меня с новой стороны. Вполне возможно, что в будущем мы рассмотрим его в качестве движка для тестирования API в Стинг. В каждом из инструментов есть свои сложности, но на первый взгляд выглядит, как неплохое начало.

В общем, однозначно рекомендую и канал и статьи и инструмент :)

Хорошего вечера воскресенья!

#rest #apisecurity #restler #swordfish

Для любителей почитать большие книги :D

Уже скоро, в четверг, встретимся с вами в баре!

Всем привет!

Уже совсем скоро мы встретимся с вами в баре на Бауманской, приходите, я буду очень-очень рад встретиться со всеми лично и поболтать за безопасность)

Сбор с 19 до 20, начало полу-официальных докладов под хорошее настроение и пиво примерно с 20-00.

В этот раз радовать вас выступлениями буду не только я (расскажу про исследование и про потрясные находки в приложениях) и рад представить вам второго спикера - Сергей Зыбнев(@szybnev), автор канала Похек, пентестер и очень позитивный человек), который расскажет нам, как он проходил квест на социальную инженерию на PhDays и что ему за это сделали)

И будет еще один участник, которого представлю чуть позже, чтобы чуть сохранить интригу от такого крутого доклада )

Stay Tuned!

В свежем бюллетене безопасности Android есть неприметная CVE-шка c традиционно мутным описанием и не менее мутным патчем. Зачем гугл так делает - загадка. Но хорошо, что есть не только "не прекрасный" гугл, но еще и нормальные исследователи которые это нашли, зарепортили и сделали очень подробный разбор.

Суть проблемы: имея разрешение WRITE_SECURE_SETTINGS можно выполнять код от имени любого приложения в системе.

Да, разрешение не самое простое, но во-первых его имеет adb, а во-вторых устройства и сценарии бывают разные. Поэтому однозначно рекомендую ознакомится с разбором.
#cve

А вот и четвертый спикер нашего уютного клуба

Всем привет! Я рад вам представить четвертого спикера нашего завтрашнего мероприятия (очень надеюсь, что не будет дождя и все доедут).

И им будет Игорь Кривонос (@AndroidDevSec), мой коллега, автор множества курсов, заслуженный тренер и шикарный пентестер!

Расскажет про разные интересные находки за время пентестов, интересные и не очень баги, соответствие требованиям и кучу других интересных штук! Я с огромным удовольствием всегда слушаю Игоря, он умеет хорошо и красиво рассказывать, да и технически всегда интересно!

#сходка #appsecmeetup #mobileappsecclub

Встречаемся уже сегодня! Mobile AppSec Club #2

Всем привет!

Сегодня встречаемся в баре AXIOM PUB (Спартаковская площадь, 16/15 ст2, м. Бауманская, Красносельская).

Примерный план действий:
- С 19 до 20 ждем всех, кто приезжает и прибывает, пьем, знакомимся и веселимся
- Где-то примерно с 20 начинаем потихоньку с докладами
- Я расскажу про исследование и прикольные находки в мобилках
- Сергей Зыбнев расскажет про квест на соц. инженерию на PHD
- Александр Вир расскажет про систему Android, ее историю и особенности
- Игорь Кривонос расскжет увлекательные истории про мобильный пентест и обзор найденных багов

Ну а после свободная программа)) Если кто-то хочет рассказать историю из жизни или как-то дополнить рассказы коллег, то не стесняйтесь, времени хватит всем))

Очень жду всех, кто сможет придти и поболтать/послушать, а главное выпить с нами в этот прекрасный вечер!

#сходка #appsecmeetup #mobileappsecclub