Способы обхода SSL Pinning в iOS
Вечная и не теряющая актуальности тема, как обойти SSL Pinning, как посмотреть трафик приложения?
Есть очень интересный твит, призванный собрать разные способы с их плюсами и минусами. Как обычно, комментарии очень хорошо дополняют исходный текст и там больше информации и очень много полезных ссылок на самые разные материалы. Советую полистать этим субботним вечером.
Ну и компании по анализу мобилок тоже не остаются в стороне, блог от AppKnox, который также собирает несколько способов обхода Pinning. Ничего нового, но описано неплохо и как методичка подойдет вполне 😁
Всем хороших выходных)
#ios #pinning #ssl
Вечная и не теряющая актуальности тема, как обойти SSL Pinning, как посмотреть трафик приложения?
Есть очень интересный твит, призванный собрать разные способы с их плюсами и минусами. Как обычно, комментарии очень хорошо дополняют исходный текст и там больше информации и очень много полезных ссылок на самые разные материалы. Советую полистать этим субботним вечером.
Ну и компании по анализу мобилок тоже не остаются в стороне, блог от AppKnox, который также собирает несколько способов обхода Pinning. Ничего нового, но описано неплохо и как методичка подойдет вполне 😁
Всем хороших выходных)
#ios #pinning #ssl
Twitter
Davy Douhine
Proxying is not the only way to monitor network traffic on your iOS mobile apps 📲 Different techniques for different use cases. Here's an attempt to summarize them. If you know other techniques plz tell me 🙏#mobilesecurity
Заблуждения о безопасности мобильных приложений
После долгого затишья я наконец-то дописал и опубликовал статью по мотивам вебинара - «Мифы о безопасности мобильных приложений».
Данные для этой статьи я копил годами и больше не могу уже терпеть) Я собрал наиболее часто встречающиеся заблуждения, которые я слышу, когда речь заходит о безопасности мобильных приложений. Это то, с чем мне приходится сталкиваться очень часто и постоянно говорить одно и то же.
Я решился объединить все эти мысли и домыслы в один большой текст и выразить свое мнение по этому поводу.
Надеюсь, вам будет интересно почитать и, скорее всего есть что добавить или поспорить, так что не стесняйтесь, может я вообще не прав и мобилки это действительно просто витрина данных для бэкенда? 🙃
#habr #webinar #mobilesecurity
После долгого затишья я наконец-то дописал и опубликовал статью по мотивам вебинара - «Мифы о безопасности мобильных приложений».
Данные для этой статьи я копил годами и больше не могу уже терпеть) Я собрал наиболее часто встречающиеся заблуждения, которые я слышу, когда речь заходит о безопасности мобильных приложений. Это то, с чем мне приходится сталкиваться очень часто и постоянно говорить одно и то же.
Я решился объединить все эти мысли и домыслы в один большой текст и выразить свое мнение по этому поводу.
Надеюсь, вам будет интересно почитать и, скорее всего есть что добавить или поспорить, так что не стесняйтесь, может я вообще не прав и мобилки это действительно просто витрина данных для бэкенда? 🙃
#habr #webinar #mobilesecurity
Хабр
Шорт-лист мифов о безопасности мобильных приложений и неприкрытая правда
Всем привет! И снова с вами я, Юрий Шабалин, ведущий архитектор Swordfish Security и генеральный директор Стингрей Технолоджиз. Как вы помните, мы разрабатываем систему автоматизированного анализа...
Очередной обход проверок на Jailbreak
Всем таким же, как и я любителям видео с индуским английским посвящается!
Видео про обход нескольких проверок на Jailbreak:
- ptrace
- sysctl
- getppid
- dyld_get_image_name
- strstr
Все обходы реализованы через Frida, также есть и репозиторий с приложением и скриптами обхода, показанными в видео.
Как показывает мой опыт, реализовывать обход проверки только через Frida крайне проблематично. Это хорошо работает для небольших и легких проверок, но когда в ход идут более серьёзные способы защиты, обойти их через Frida можно, но это очень сильно замедляет работу приложения.
Хорошим способом является сочетание методов, например через твики (Shadow, A-ByPass и т.д.), и реализация дополнительных обходов уже через фрида.
В любом случае, полезное видео и скрипты неплохие, могут помочь в ряде случаев.
«халлоу, туудэй ви вилл лёрн хау ту байпась мост жеилбрек детекшн»
#ios #jailbreak #bypass
Всем таким же, как и я любителям видео с индуским английским посвящается!
Видео про обход нескольких проверок на Jailbreak:
- ptrace
- sysctl
- getppid
- dyld_get_image_name
- strstr
Все обходы реализованы через Frida, также есть и репозиторий с приложением и скриптами обхода, показанными в видео.
Как показывает мой опыт, реализовывать обход проверки только через Frida крайне проблематично. Это хорошо работает для небольших и легких проверок, но когда в ход идут более серьёзные способы защиты, обойти их через Frida можно, но это очень сильно замедляет работу приложения.
Хорошим способом является сочетание методов, например через твики (Shadow, A-ByPass и т.д.), и реализация дополнительных обходов уже через фрида.
В любом случае, полезное видео и скрипты неплохие, могут помочь в ряде случаев.
«халлоу, туудэй ви вилл лёрн хау ту байпась мост жеилбрек детекшн»
#ios #jailbreak #bypass
YouTube
Bypassing iOS Anti Reversing Defences Using Frida
#iospentesting #mobilesecurity #owasp #anti-reversing
This video will provide a walkthrough on dynamically bypassing anti-debugging and anti-reversing defences used in iOS applications.
For the purpose of this video we are going to use ios-challenge-2 provided…
This video will provide a walkthrough on dynamically bypassing anti-debugging and anti-reversing defences used in iOS applications.
For the purpose of this video we are going to use ios-challenge-2 provided…