Mobile AppSec World
5.29K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
Writeup по простенькому Android CTF

Прохождение достаточно простого CTF на одной из недавних конференций NahamCon2022.

Автор описывает принцип работы приложения и решает его при помощи модификации smali-кода, попутно немного объясняя что и как он делает.

Небольшой и занятный writeup’чик, можно для эксперимента пройти его не через модификацию smali, а через frida, например.

#smali #ctf #wtiteup
CTF под Android в Google Play со скорбордом и печеньками

Очень странно, что я не видел этих ребят раньше, мне казалось, что уже про них рассказывал, но тем не менее, весьма интересный и развивающийся проект - hpAndro!

Представляет из себя CTF для Android, написанный на котлин. На сайте доступен сеорборд и есть все шансы туда попасть 😎

Ну и в целом, всегда приятно немного поиграть, если есть время и силы :) в процессе можно попробовать новые инструменты и, если есть уже прохождение, попробовать найти другой способ получения флага!

Всем удачной игры и поиска багов!

P.S. У ребят ещё есть отличный канал на YouTube, где много разных видео, начиная с прохождения их CTF, заканчивая обзором разных инструментов, оч классно!

#android #ctf #tools
Mobile AppSec World
👟 #Таск 2022-08-12: Android Reverse (автор: @rozetkinrobot) Нынче достаточно популярны всякие Play-to-Earn проекты. Ыж решил попытать удачу в одном из таких под названием StepOFF. Как оказалось, для регистрации нужен инвайт-код, а те, что он смог найти в…
Решение задачи с Flutter

А вот и решение этого таска, кому интересно.

В видео рассказывают про то, как можно было решить задание и в целом, что можно сделать с флаттером, как его анализировать, что смотреть и прочие интересные вещи. Тут нам и reFlutter (❤️) и статья по реверсу от GuardSquare пригодилась и вообще неплохая демо анализа подобных приложений.

Советую всем, кто начинает знакомиться с анализом кроссплатформ и любит Stepn Flutter 😁

#flutter #ctf
OFFZONE! CTF! Участвуйте и приходите к нам!

Всем привет!
Итак, конференция OFFZONE 2022 официально началась!
У нас свой комьюнити стенд, так что приходите знакомиться!

У нас классные активности, а именно CTF по Android и iOS! Заходите, участвуйте, получайте фан и крутой мерч)

Зарегистрироваться на CTF можно тут:
https://mobile.ctf.appsec.global/

За первые 10 мест обещаем футболки, OffCoin и полный набор мерча!
И конечно, те, кто участвовал в розыгрышах, приходите за обещеннымы подарками)

LETS GO!

#OFFZONE #CTF
Второй день мы с вами!

Всем привет, надеюсь, вы живы после вчерашнего дня конференции =)

Сегодня мы снова с вами и вас ждет не менее интересный день.

В 14-00 проведем "Свою игру", вечером подведем итоги мобильного CTF и наградим победителей футболками, мерчем и, конечно, начислим OffCoin'ы!

Приходите поболтать, посмотреть на демку и просто весело провести время!

#android #iOS #CTF #OFFZONE
Обход детекта Frida на Android

Всем привет!
Для любителей видео-демонстраций, уроков и лекций, нашел видео-гайд по одному из способов обхода детекта Frida на Android.

Видео основано на анализе приложения R2Pay, которое как раз содержит детект на наличие root и frida-server на устройстве. При этом реализовано это все в нативе, так что полезно будет и тем, кто хотел посмотреть, как хукать нативные вызовы в .so файлах в Android.

Для тех, кто хочет почитать, есть подробный разбор аналогичного таска в текстовом представлении.

Изучаем, радуемся и проходим CTF =)

#CTF #Frida #Antifrida
Все, что вы хотели знать о CTF, но боялись спросить

Всем привет!
Сегодня у меня просто отличный повод написать пост, вышла потрясающая статья о CTF - "Соревнования Capture The Flag (CTF) и все, что вы о них еще не знали".

В статье простым языком рассказывается о том, что такое CTF, зачем они нужны и что делать, если ты никогда в них не участвовал, но хотел бы. Что особенно интересно - это формат повествования в виде интервью с именитыми CTF-ерами и организаторами:

- Егор Богомолов – победитель многочисленных CTF и участник bug-bounty, основатель компании Singleton Security, глава обучающего центра CyberED (бывш. «HackerU»)

- Омар Ганиев aka Beched, «этичный хакер», специалист по безопасности приложений и тестированию на проникновение, спикер различных конференций (Highload++, PHDays, ZeroNights, OWASP и т. д.), член сильнейшей российской CTF-команды «More Smoked Leet Chicken». Основал компанию DeteAct для разработки продуктов и оказания услуг по ИБ. Преподавал практическую безопасность в РТУ МИРЭА

- Влад Росков, капитан команды LC↯BC / More Smoked Leet Chicken, многократный победитель и организатор CTF (с сообществом SPbCTF)

- Константин Крючков, многократный участник CTF (команда Keva), организатор образовательных CTF в Swordfish Security

Как по мне вышло очень бодро и интересно! С удовольствием почитал ответы на вопросы ребят, классные истории и советы 😄
Ну и конечно, в виде бонуса итоговая табличка с наиболее популярными CTF в конце статьи.

Так что приятного чтения, надеюсь вам понравится также, как и мне!

#ctf #habr
Подборка Android CTF

Ну и в догонку, подборка “две миски риса и мобильный CTF😅

На самом деле, подборка Android CTF с различных мероприятий и активностей. Сам репозиторийина китайском, но понять, я думаю несложно (спасибо переводчикам).

И очень надеюсь, что пустой раздел iOS очень скоро наполнится хотя бы несколькими CTF :))

Enjoy!

#CTF #android #mobile
Знакомство с Frida.

Ну а для тех, кто не понимает, зачем нужна Frida и как на ней вообще можно что-то писать, есть очень простая и подробная статья, которая поможет на не сложном примере написать свой первый скрипт на Frida и обойти проверку в приложении.

На самом деле очень хороший материал для старта, где понятно расписано для чего использовать этот инструмент, как его установить и т.д.

Так что, для всех новичков, добро пожаловать в мир костылей, боли, JS, увлекательной работы с Frida!

#frida #android #ctf #start
Как на самом деле магазины приложений проверяют ваше приложение на уязвимости перед публикацией.

Всем привет!

Не могу не поделиться, хоть и из отпуска, нашим исследованием.

Как вы помните, на OFFZONE мы проводили CTF, в котором было представлено приложение с реальными уязвимостями. Тогда я обещал, что мы о нем еще поговорим. Время пришло 🙂

Мы загрузили наше уязвимое приложение во все популярные магазины, наблюдали за процессом их публикации и тому, какие проверки наше приложение проходило.

Исследование призвано ответить на несколько вопросов. Первый - это доказать, что надеется на проверку сторов при публикации и замещать этим аудиты безопасности приложений и средства по анализу защищенности нельзя.

Второй - выяснить, насколько магазины приложений выполняют свои обещания по проверке приложений на безопасность.

Сразу скажу, что к тем сторам, где нет ни слова об анализе приложений на безопасность, вопросов никаких и нет. Однако к тем, которые эту проверку обещают, есть большой вопрос.

Исследование касалось именно проверки на уязвимости и недостатки в приложении, но никак не проверке на вирусы, рекламу и прочее, что любой уважающий себя магазин и так делает.

Статья выше разделена на две части:
- Первая рассказывает о нашем приложении, как оно устроено, какие проблемы мы в него закладывали, к чему они могут привести. Давно планировали это написать, но решили совместить, так что всем, кто решал наш CTF и хотел посмотреть, что было еще, добро пожаловать!

- Вторая часть касается уже непосредственно анализу проверок магазинами, что они обещают и как это выглядит на самом деле. С датами заявки, проверок и публикаций.

Выводы делайте сами, но на мой взгляд, все достаточно просто, нельзя доверять проверку своего приложения на безопасность магазинам приложений, чтобы они не обещали.

И если когда-то вам скажут о том, что аудит не нужен, так как есть проверки на стороне магазинов, просто покажите им эту статью.

Лайки, репосты и прочие активности очень приветствуются!

Ну а я дальше отдыхать 🌴🏝️

#research #android #googleplay #ctf
Статья для начинающих свой путь в Android

Всем привет!

Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.

В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox

В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.

Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.

Добро пожаловать в мир безопасности мобилок»

#android #frida #ctf #burp
Итак, CTF!

Как вы помните, в прошлом году мы специально разработали максимально уязвимое приложение и загрузили его во все магазины приложений!

Вы его качественно разломали и мы потратили немало денег на BugBounty!

В этом году мы учли опыт прошлого года и теперь наши «Безопасные заметки» точно супер безопасные! Мы много читали, поумнели (надеюсь), защитили свое приложение и в этом году представляем вам новую версию! Теперь вы его точно не сломаете! Конечно, мы ничего не исправляли, зато применили сложные механизмы защиты!

Теперь, правда она представлена в виде классического CTF с флагами формата flag{some_value}.

Попробуйте найти хотя бы три!

Зарегистрироваться на CTF можно по адресу
https://offzone.ctf.swordfish-academy.ru/

Это совместный CTF, так что внутри есть еще и флаги на Web!

Участвуйте, регистрируйтесь, присоединяйтесь!

Новости будут тут, но оперативная информация в нашем канале “Security Champions”!

#CTF #Android