Mobile AppSec World
5.29K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
Импорт HTTP Archive (HAR) в Burp Suite

Для начала, всех с наступившим годом и практически прошедшим первым месяцем работы. Надеюсь, что у вас он оказался таким же плодотворным, как и у меня 🥳

Ну, а в качестве первого поста в этом году, я хотел бы поделиться некоторыми нашими наработками. А именно - импортом файлов формата HAR в Burp Suite для дальнейшего анализа и сканирования API.

Во время автоматического анализа мобильных приложения мы перехватываем трафик и снимаем SSL Pinning, ну а потом переводит всё сетевое общение бэка и приложения в удобный читаемый формат. В планах самим проводить различные проверки безопасности API, но пока это находится в разработке, мы используем интеграции с другими системами динамического анализа (DAST). Интеграция - выгрузить сетевые запросы в таком формате, чтобы их смогли импортировать к себе различные Web-сканеры.

Таким форматом и стал HTTP архив. Это достаточно стандартный формат, самый простой способ его получить это открыть "Инструменты разработчика" в браузере и на вкладке Networking выбрать пункт "Save as HAR". В результате мы получим некоторый json-файлик, который будет содержать все request/response с заголовками и т.д. Различные Enterprise инструменты вроде Acunetix, Netsparker и остальные умеют парсить такой формат и на его основе проводить сканирование.

Я был достаточно сильно удивлен, что в BurpSuite нельзя его импортировать (а может просто плохо искал). Есть вот такой плагин, но для него нужно сначала конвертировать HAR в csv, а только потом уже импортить его (при этом часть данных у меня терялась).

В итоге, мы написали свой плагин для того, чтобы в SiteMap берпа можно было импортировать чистый HAR и дальше запускать скан или делать то, что обычно делают =) У плагина есть две версии, для GUI и для headless режима, что может быть удобным для дальнейшей автоматизации.

Теперь станет чуть удобнее отправлять собранный трафик в Burp и "краулить" API, достаточно просто в браузере мышкой потыкать и сохранить все запросы 🤓

А тем, кто в компаниях занимается AppSec есть небольшой бонус. Если в вашей компании используются UI-тесты (например каким-нибудь Selenium), то можно в них добавить небольшое изменение и они будут сохранять HAR-файлы с трафиком, который происходил во время прогона тестов. Дальше их можно автоматически забирать, отдавать в Burp и проводить активное сканирование. В зависимости от покрытия автотестами, можно каждую сборку после автотестов прогонять на безопасность и иметь всегда актуальный снимок трафика вашего приложения. Ну а можно просто с тестировщиками договориться, что бы они при прогоне ручных тестов сохраняли из браузера этот HAR-файлик.

Надеюсь, что кому-то эта информация и эти плагины помогут в построении процессов безопасной разработки или немного упростят жизнь, ну а мы планируем их поддерживать и дальше развивать.

Всем хорошей пятницы 😁

#stingray #traffic #burp #har
Интеграция Burp Suite и Frida - Brida

Продолжаю тему интеграций различных инструментов, в которых очень часто оказывается Frida 😅

Ещё давно я встречал плагин для Burp, который позволял отлавливать интенты в Android и работать с ними в Burp (повторять, фаззить и т.д.). Не могу сейчас найти это репо, но попробую.

И вот новый виток интеграции, как назвали его авторы - Brida.
Сам пока не смог протестировать, но судя по заявленному функционалу в репозитории, обещает быть очень интересным:
- большое количество готовых хуков для Android и для iOS, которые можно вызвать напрямую из GUI инструмента
- функциональность анализа бинаря, который представляется в виде дерева функций/классов и т.д. Возможность сразу навешивать хуки на интересующие методы и следить за их выполнением
- консолька для собственных хуков

И всё это из интерфейса BurpSuite!

Ну и в дополнение смотреть в одном инструменте сразу и запросы и результаты хуков может быть достаточно удобно.

У них достаточно много выступлений, неплохая документация. Из последнего, можно посмотреть видео с конференции Hack the Paris 2021

А так же два демо приложения в репозитории, на которых можно потестить (на них он должен работать :D )

Выглядит достаточно вкусно 🤓

#frida #ios #android #burp #integration
И ещё один способ поставить сертификат в системные на эмуляторе

Статья, носящая гордое название “Android Pentesting Setup On Mac M1” подразумевает под собой что-то интересное, учитывающее специфику нового чипа и вот это всё стильное, модное, молодежное.

Но по факту это просто описание, как поставить Android Studio, создать и запустить эмулятор 😢

Но есть и небольшая польза, в статье описан, наверное, самый простой способ добавления сертификата от берпа в системные, это запуск эмулятора с доступным на запись системным разделом и простое копирование туда файла сертификата.

Сертификаты системные лежат здесь /system/etc/security/cacerts. И все что нужно, это скачать и сконвертить сертификат от берпа и положить его в эту директорию. Ничего сложного, но статья описывает безумно подробно весь этот процесс.

Возможно будет полезно, если не хочется ставить Magisk.

#android #emulator #burp #proxy
Курс по Burp Suite (пока бесплатно)

Очень часто для работы с перехватом трафика используется очень полезный и мощный инструмент - Burp Suite. Это просто швейцарский нож и его возможности очень велики, как из коробки, так и благодаря различным плагинам и возможности написать свои собственные расширения.

Сегодня (ещё 20 часов) цена на 8-часовой курс по Burp бесплатно!

Название «BUG BOUNTY HUNTING WITH BURP SUITE» обещает много интересного и полезного материала.

Проведите выходные с пользой :)

#course #burp

Ещё можно
Статья для начинающих свой путь в Android

Всем привет!

Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.

В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox

В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.

Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.

Добро пожаловать в мир безопасности мобилок»

#android #frida #ctf #burp