Начинаем CTF!
Сегодня, в первый день OFFZONE мы запускаем нашу Баг Баунти программу для приложения «Безопасные заметки»!
Находите баги, присылайте репорты и получайте вознаграждения :))
Программа доступна на площадке баг Баунти от Bi.Zone:
https://app.bugbounty.bi.zone/companies/stingray/
Заодно можно познакомиться с самой площадкой ;)
Сегодня, в первый день OFFZONE мы запускаем нашу Баг Баунти программу для приложения «Безопасные заметки»!
Находите баги, присылайте репорты и получайте вознаграждения :))
Программа доступна на площадке баг Баунти от Bi.Zone:
https://app.bugbounty.bi.zone/companies/stingray/
Заодно можно познакомиться с самой площадкой ;)
👍4🔥3
Своя игра!
через 10-15 минут начинаем «Свою игру»!
приходите все поучаствовать) играют как участники, так и зрители)
будет очень весело :)
через 10-15 минут начинаем «Свою игру»!
приходите все поучаствовать) играют как участники, так и зрители)
будет очень весело :)
❤4👍1
OFFZONE 2023
Спасибо огромное всем, кто принял участие в Своей игре, мне кажется, прошло все очень классно :)
Напомню, что мы повторим эту же активность завтра в 14:00, так что если не успели или есть желание поучаствовать, приходите обязательно!
CTF!!
А наше Android-приложение продолжает принимать репорты и завтра в 12 мы закроем программу. А примерно в 12-13 наградим победителей, чтобы вы могли успеть потратить свои OFFCOINS. Так что следите за новостями и до встречи завтра!
Спасибо огромное всем, кто принял участие в Своей игре, мне кажется, прошло все очень классно :)
Напомню, что мы повторим эту же активность завтра в 14:00, так что если не успели или есть желание поучаствовать, приходите обязательно!
CTF!!
А наше Android-приложение продолжает принимать репорты и завтра в 12 мы закроем программу. А примерно в 12-13 наградим победителей, чтобы вы могли успеть потратить свои OFFCOINS. Так что следите за новостями и до встречи завтра!
❤6👍3🔥2
CTF!
Всем привет!
Первый день конференции закончен, а это значит, настала пора поискать уязвимости) Напоминаем, что вы еще можете поучаствовать в нашем Android-CTF и помочь компании "Безопасные заметки" стать чуть более защищенной =)
Принимаем репорты до завтрашнего полдня (12-00)!
Удачной ночной охоты!
Всем привет!
Первый день конференции закончен, а это значит, настала пора поискать уязвимости) Напоминаем, что вы еще можете поучаствовать в нашем Android-CTF и помочь компании "Безопасные заметки" стать чуть более защищенной =)
Принимаем репорты до завтрашнего полдня (12-00)!
Удачной ночной охоты!
🔥4❤2👍2
Итоги нашего CTF!
Друзья, наш CTF завершился) Программа пока что останется некоторое время открытой, но репорты в зачот мы уже не принимаем!
Итак, первые три места по никам на площадке:
1. dr4gen
2. imposs1ble_hack
3. wwwww
Поздравляю вас! Прииходите к нам на стенд MAW за вашими призами и OFFCOIN!
И так же, на самом деле все, кто принял участие, приходите, для вас у нас тоже есть подарки и OFFCOIN, только поменьше)
В общем, ждем всех, кто принимал участие!
Друзья, наш CTF завершился) Программа пока что останется некоторое время открытой, но репорты в зачот мы уже не принимаем!
Итак, первые три места по никам на площадке:
1. dr4gen
2. imposs1ble_hack
3. wwwww
Поздравляю вас! Прииходите к нам на стенд MAW за вашими призами и OFFCOIN!
И так же, на самом деле все, кто принял участие, приходите, для вас у нас тоже есть подарки и OFFCOIN, только поменьше)
В общем, ждем всех, кто принимал участие!
👏11❤🔥2😢2👍1🔥1🫡1
Своя игра!
Последняя наша большая активность на OFFZONE!
Второй тур «Своей игры» пройдёт у нас на стенде в 14:00 (уже через полчаса)!
Приходите повеселиться, поучаствовать и поддержать своих друзей и знакомых, так как зрители тоже участвуют!
P. S. Все, кто победил в CTF, приходите, перед началом своей игры наградим мерчем :)
Последняя наша большая активность на OFFZONE!
Второй тур «Своей игры» пройдёт у нас на стенде в 14:00 (уже через полчаса)!
Приходите повеселиться, поучаствовать и поддержать своих друзей и знакомых, так как зрители тоже участвуют!
P. S. Все, кто победил в CTF, приходите, перед началом своей игры наградим мерчем :)
👍8
Всем огромное спасибо, кто пришел и поучаствовал в наших активностях, было весело и задорно!
Надеюсь вам понравился и наш CTF, викторина и игра :)
Надеюсь вам понравился и наш CTF, викторина и игра :)
🔥23❤🔥5👍5❤2🥰2
Подведем итоги OFFZONE
Всем привет!
Вот и прошла уже неделя с окончания конференции OFFZONE 2023. Совсем скоро начнут выкладывать записи докладов, презентации и прочие маткриалы. Ну а мне хотелось бы немного вспомнить, что у нас было интересного и чем мне запомнилось это мероприятие.
Для начала спасибо всем огромное, кто поддерживал наш комьюнити-стенд, принимал участие в активностях, конкурсах, CTF, Своей Игре и просто приходил поболтать!
Во-первых, в этом году мы провели не совсем обычный CTF, который представлял из себя реальное приложение, даже с небольшим бэком, которое мы зарегистрировали на площадке BugBounty от компании Бизон. Для меня лично это был очень интересный опыт, так как я никогда не принимал участия в подобных активностях со стороны вендора или того, кто разбирает заявки. И скажу, это, блин, не просто, мое уважение всем, кто разбирает заявки на реальных программах! Формат мне очень понравился, я думаю, мы как-нибудь его обязательно повторим. Репортов было много, мы старались выставлять всем типам уязвимостей одинаковую критичность, чтобы все были в равных условиях. Иногда накидывали за отличное описание и предоставленные PoC для реализации той или иной уязвимости.
Скоро мы сделаем небольшой обзор на те уязвимости, что были в приложении и подсветим самые классные репорты.
Во-вторых, в этом году мы второй раз провели "Свою игру", но уже два дня подряд. Мне на самом деле очень нравится этот формат, на удивление он прям очень классно заходит! Хоть нам и пришлось выдумывать 120 вопросов на 8 раундов, но это того стоило! Очень надеюсь, что и всем участникам понравилось не меньше и все оценили новый классный дизайн этой активности в формате "переписки" на телефоне :)
Всем привет!
Вот и прошла уже неделя с окончания конференции OFFZONE 2023. Совсем скоро начнут выкладывать записи докладов, презентации и прочие маткриалы. Ну а мне хотелось бы немного вспомнить, что у нас было интересного и чем мне запомнилось это мероприятие.
Для начала спасибо всем огромное, кто поддерживал наш комьюнити-стенд, принимал участие в активностях, конкурсах, CTF, Своей Игре и просто приходил поболтать!
Во-первых, в этом году мы провели не совсем обычный CTF, который представлял из себя реальное приложение, даже с небольшим бэком, которое мы зарегистрировали на площадке BugBounty от компании Бизон. Для меня лично это был очень интересный опыт, так как я никогда не принимал участия в подобных активностях со стороны вендора или того, кто разбирает заявки. И скажу, это, блин, не просто, мое уважение всем, кто разбирает заявки на реальных программах! Формат мне очень понравился, я думаю, мы как-нибудь его обязательно повторим. Репортов было много, мы старались выставлять всем типам уязвимостей одинаковую критичность, чтобы все были в равных условиях. Иногда накидывали за отличное описание и предоставленные PoC для реализации той или иной уязвимости.
Скоро мы сделаем небольшой обзор на те уязвимости, что были в приложении и подсветим самые классные репорты.
Во-вторых, в этом году мы второй раз провели "Свою игру", но уже два дня подряд. Мне на самом деле очень нравится этот формат, на удивление он прям очень классно заходит! Хоть нам и пришлось выдумывать 120 вопросов на 8 раундов, но это того стоило! Очень надеюсь, что и всем участникам понравилось не меньше и все оценили новый классный дизайн этой активности в формате "переписки" на телефоне :)
❤10👍4🔥4
В-третьих, викторина на стенде, где каждый мог проверить свои знания и ответить на вопрос по безопасности мобильных приложений или сразу получить футболку, если ему улыбнулась удача с правильной карточкой.
В-четвертых, я успел выступить на AppSec-треке и немного рассказать про особенности процесса разработки мобильных приложений и как эти нюансы грамотно использовать при подключении практик безопасности. Кстати, на AppSec-треке было очень много крутых докладов, на мой взгляд, получилось весьма разносторонне и крайне интересно. Мы выпустили небольшой обзор с комментариями спикеров, получилось легко и увлекательно.
Ну и вообще, раздали много мерча, познакомились со многими классными людьми и круто провели время! Надеюсь, что в следующем году сможем порадовать вас еще большим количеством фановых активностей, конкурсов и призов!
Спасибо всем и до встречи на OFFZONE в следующем году!
А вообще, скорее всего и намного раньше, но об этом я напишу чуть позже =)
В-четвертых, я успел выступить на AppSec-треке и немного рассказать про особенности процесса разработки мобильных приложений и как эти нюансы грамотно использовать при подключении практик безопасности. Кстати, на AppSec-треке было очень много крутых докладов, на мой взгляд, получилось весьма разносторонне и крайне интересно. Мы выпустили небольшой обзор с комментариями спикеров, получилось легко и увлекательно.
Ну и вообще, раздали много мерча, познакомились со многими классными людьми и круто провели время! Надеюсь, что в следующем году сможем порадовать вас еще большим количеством фановых активностей, конкурсов и призов!
Спасибо всем и до встречи на OFFZONE в следующем году!
А вообще, скорее всего и намного раньше, но об этом я напишу чуть позже =)
❤12🔥6
⭐️Встреча клуба любителей мобильных приложений⭐️
Всем привет!
Возможно мы встретимся и чуть раньше OFFZONE 🥳
Хочу собрать первую живую встречу "Mobile Appsec Club".
Я надеюсь на неформальный междусобойчик с мини-докладами, историями из жизни, шутками, морем веселья, хорошего настроения и пива =)
Посидим, выпьем в уютном баре, послушаем разные истории про мобильную (и не только) безопасность, разыграем призы и просто познакомимся наконец. Максимально неформально, без официоза.
4-го октября в Москве, в баре в пределах садового кольца (место чуть позже скажу более точно, как все подтвердится).
Вход свободный, с меня кружка пива тем, кто расскажет историю. Захватите хорошее настроение =)
Ну и небольшой опрос. Предлагаю выбрать тему, чтобы нам было с чего начать :) Можно выбрать несколько вариантов. А дальше сообразим по ходу дела.
Всем привет!
Возможно мы встретимся и чуть раньше OFFZONE 🥳
Хочу собрать первую живую встречу "Mobile Appsec Club".
Я надеюсь на неформальный междусобойчик с мини-докладами, историями из жизни, шутками, морем веселья, хорошего настроения и пива =)
Посидим, выпьем в уютном баре, послушаем разные истории про мобильную (и не только) безопасность, разыграем призы и просто познакомимся наконец. Максимально неформально, без официоза.
4-го октября в Москве, в баре в пределах садового кольца (место чуть позже скажу более точно, как все подтвердится).
Вход свободный, с меня кружка пива тем, кто расскажет историю. Захватите хорошее настроение =)
Ну и небольшой опрос. Предлагаю выбрать тему, чтобы нам было с чего начать :) Можно выбрать несколько вариантов. А дальше сообразим по ходу дела.
🔥11👍5❤3
Темы, которые бы хотели послушать для начала.
Anonymous Poll
29%
Скандалы, интриги, расследования: истории, которые привели к неожиданным последствиям
43%
Байки из ямки: Истории из жизни про найденные интересные/смешные баги, общение с вендорами и т.д.
25%
Наука и техника: истории/доклады по технические вещи
33%
Внезапные озарения: искали одно, нашли другое :)
38%
Все что угодно, лишь бы компания была хорошая
👍3👏3🙏3
Коллекция курсов и книг по мобильной безопасности
Привет, многие на конференции спрашивали про то, с чего начать, что почитать про безопасность мобильных приложений.
Как-то я собирал коллекцию книг, курсов, заданий и выкладывал в общий доступ. Настало время напомнить о них :)
Следующим постом пришлю тот самый первый пост с подборкой всего и вся :) с того времени еще немного курсов и книг было добавлено, так что, может найдете для себя что-то интересное.
Привет, многие на конференции спрашивали про то, с чего начать, что почитать про безопасность мобильных приложений.
Как-то я собирал коллекцию книг, курсов, заданий и выкладывал в общий доступ. Настало время напомнить о них :)
Следующим постом пришлю тот самый первый пост с подборкой всего и вся :) с того времени еще немного курсов и книг было добавлено, так что, может найдете для себя что-то интересное.
👍5❤2❤🔥2
Forwarded from Mobile AppSec World
Большая подборка книг, курсов и статей по безопасности мобильных приложений
На день знаний не успел выложить, но хоть на 3-е сентября будет 😄
Собрал воедино все книги, которые у меня были и что мне присылали, гайды и курсы по анализу и безопасности мобильных приложений!
Что получилось в итоге:
Android Books
Android Application Pentest Guide (AAPG)
Android Forensics
Android binder
Android Task Hijacking
Android Hacker's Handbook
Android Malware and Analysis
Android Apps Security
Android Security Attacks and Defenses
Android Security Internals
Application Security for the Android Platform
Android Application Secure Design/Secure Coding Guidebook
Decompiling Android
Deep Dive into Android Binder IPC
DEF CON 24 Workshop Dinesh Shetty Practical Android Application
Embedded Android
Kotlin secure coding practices
Learning Android Forensics
Hacking Android
XDAs Android Hackers Toolkit
Xaker-254
Яндекс - как общаются Android приложения
Broken Fingers - On the Usage of the Fingerprint API in Android
What can you do to an apk without its private key except repacking
WhatsApp Forensics: Decryption of Encrypted WhatsApp Databases
Huawei Mate 9 Pro (LON AL00) PWN2OWN
Android Internals - A Confectioner's Cookbook (Volume I)
Android Courses
Android Part - Mobile Application Security and Penetration Testing v2
AndroidHackingCourse
Penetration Testing Apps for Android Devices
iOS Books
Apple Security Sandbox
iOS App Reverse Engineering
IOS FORENSICS COOKBOOK
IOS Hackers Handbook
Mac OS X and iOS Internals (1-е издание)
Mobile App Hackers Handbook
Hacking and Securing IOS Applications
Recreating an iOS 0day Jailbreak Out of Apple’s Security Updates
Revisiting iOS Kernel (In)Security: Attacking the early random() PRNG
Demystifying The Secure Enclave Processor
iOS Courses
iOS Part - Mobile Application Security and Penetration Testing v2
Книги включающие в себя и Android и iOS либо нечто общее про безопасность мобилок
MASTERING MOBILE FORENSICS
Mobile App Hackers Handbook
MOBILE FORENSICS ADVANCED INVESTIGATIVE STRATEGIES
DSEC - Анализ безопасности мобильных банковских приложений
DSEC - Анализ безопасности мобильных банковских приложений 2012
DSEC - SCADA и мобильники - оценка безопасности приложений, превращающих смартфон в пульт управления заводом
Secure mobile development best practices
OWASP Mobile App Security Checklist
OWASP Mobile AppSec Verification Standard RU
OWASP mobile security testing guide
Брюс Шнайдер - прикладная криптография :D
Смешанные курсы
Mobile Application Security and Penetration Testing v1
Все материалы доступны по ссылке. Можно как скачать отдельные материалы, так и все сразу.
По мере нахождения новых интересных материалов - буду обновлять и дополнять "библиотеку" 🤓
#Books #Education #Android #iOS
На день знаний не успел выложить, но хоть на 3-е сентября будет 😄
Собрал воедино все книги, которые у меня были и что мне присылали, гайды и курсы по анализу и безопасности мобильных приложений!
Что получилось в итоге:
Android Books
Android Application Pentest Guide (AAPG)
Android Forensics
Android binder
Android Task Hijacking
Android Hacker's Handbook
Android Malware and Analysis
Android Apps Security
Android Security Attacks and Defenses
Android Security Internals
Application Security for the Android Platform
Android Application Secure Design/Secure Coding Guidebook
Decompiling Android
Deep Dive into Android Binder IPC
DEF CON 24 Workshop Dinesh Shetty Practical Android Application
Embedded Android
Kotlin secure coding practices
Learning Android Forensics
Hacking Android
XDAs Android Hackers Toolkit
Xaker-254
Яндекс - как общаются Android приложения
Broken Fingers - On the Usage of the Fingerprint API in Android
What can you do to an apk without its private key except repacking
WhatsApp Forensics: Decryption of Encrypted WhatsApp Databases
Huawei Mate 9 Pro (LON AL00) PWN2OWN
Android Internals - A Confectioner's Cookbook (Volume I)
Android Courses
Android Part - Mobile Application Security and Penetration Testing v2
AndroidHackingCourse
Penetration Testing Apps for Android Devices
iOS Books
Apple Security Sandbox
iOS App Reverse Engineering
IOS FORENSICS COOKBOOK
IOS Hackers Handbook
Mac OS X and iOS Internals (1-е издание)
Mobile App Hackers Handbook
Hacking and Securing IOS Applications
Recreating an iOS 0day Jailbreak Out of Apple’s Security Updates
Revisiting iOS Kernel (In)Security: Attacking the early random() PRNG
Demystifying The Secure Enclave Processor
iOS Courses
iOS Part - Mobile Application Security and Penetration Testing v2
Книги включающие в себя и Android и iOS либо нечто общее про безопасность мобилок
MASTERING MOBILE FORENSICS
Mobile App Hackers Handbook
MOBILE FORENSICS ADVANCED INVESTIGATIVE STRATEGIES
DSEC - Анализ безопасности мобильных банковских приложений
DSEC - Анализ безопасности мобильных банковских приложений 2012
DSEC - SCADA и мобильники - оценка безопасности приложений, превращающих смартфон в пульт управления заводом
Secure mobile development best practices
OWASP Mobile App Security Checklist
OWASP Mobile AppSec Verification Standard RU
OWASP mobile security testing guide
Брюс Шнайдер - прикладная криптография :D
Смешанные курсы
Mobile Application Security and Penetration Testing v1
Все материалы доступны по ссылке. Можно как скачать отдельные материалы, так и все сразу.
По мере нахождения новых интересных материалов - буду обновлять и дополнять "библиотеку" 🤓
#Books #Education #Android #iOS
🔥22❤4🥰2
Подборка Android CTF
Ну и в догонку, подборка “две миски риса и мобильный CTF” 😅
На самом деле, подборка Android CTF с различных мероприятий и активностей. Сам репозиторийина китайском, но понять, я думаю несложно (спасибо переводчикам).
И очень надеюсь, что пустой раздел iOS очень скоро наполнится хотя бы несколькими CTF :))
Enjoy!
#CTF #android #mobile
Ну и в догонку, подборка “две миски риса и мобильный CTF” 😅
На самом деле, подборка Android CTF с различных мероприятий и активностей. Сам репозиторийина китайском, но понять, я думаю несложно (спасибо переводчикам).
И очень надеюсь, что пустой раздел iOS очень скоро наполнится хотя бы несколькими CTF :))
Enjoy!
#CTF #android #mobile
GitHub
GitHub - r0ysue/MobileCTF: 体系化、实战化、step by step、目标清晰且具体的一个打怪升级、成长路径规划图
体系化、实战化、step by step、目标清晰且具体的一个打怪升级、成长路径规划图. Contribute to r0ysue/MobileCTF development by creating an account on GitHub.
🔥7👍2
Анализ smali-кода
Как правило, начинают анализ Android-приложение с его декомпиляции и изучения что де там делается-то внутри?
Но для задач, когда может потребоваться изменение логики работы приложения или более точного анализа (например поиск методов или тот де taint-анализ), приходится работать со smali-кодом.
Статья для тех, кто не так много работал с этим представлением и хотел бы больше понимать, что означают те или иные строки внутри smali. Она не очень большая, остается много вопросов, но вся прелесть в нескольких практических заданиях, которые можно скачать и попробовать решить. И для любителей видео из командной строки, еще и решение одной из задач в формате видео 😄
Так что, как отправная точка, да еще и с примерами и практикой может быть очень даже неплохо)
#android #smali
Как правило, начинают анализ Android-приложение с его декомпиляции и изучения что де там делается-то внутри?
Но для задач, когда может потребоваться изменение логики работы приложения или более точного анализа (например поиск методов или тот де taint-анализ), приходится работать со smali-кодом.
Статья для тех, кто не так много работал с этим представлением и хотел бы больше понимать, что означают те или иные строки внутри smali. Она не очень большая, остается много вопросов, но вся прелесть в нескольких практических заданиях, которые можно скачать и попробовать решить. И для любителей видео из командной строки, еще и решение одной из задач в формате видео 😄
Так что, как отправная точка, да еще и с примерами и практикой может быть очень даже неплохо)
#android #smali
Linkedin
Android Static Analysis Fundamentals: Smali Code Introduction and Modifications
TL;DR: Discover the power of Smali code, a vital skill for Android app analysis and reverse engineering apps. Unveil an app’s inner workings and spot security vulnerabilities with ease.
👍9🔥3
iOS Forensic by Elcomsoft
Вот очень люблю этих ребят, их блог это просто находка :)
И даже в статье про работу с их инструментом по извлечению данных с iOS (насколько я понимаю, платного), они дают и теорию и много отсылок к другим опенсорс инструментам и статьям. Так что читая этот материал можно почерпнуть много нового и полезного из ссылок по тексту.
Настоятельно рекомендую посмотреть :)
#ios #elcomsoft #forensic
Вот очень люблю этих ребят, их блог это просто находка :)
И даже в статье про работу с их инструментом по извлечению данных с iOS (насколько я понимаю, платного), они дают и теорию и много отсылок к другим опенсорс инструментам и статьям. Так что читая этот материал можно почерпнуть много нового и полезного из ссылок по тексту.
Настоятельно рекомендую посмотреть :)
#ios #elcomsoft #forensic
ElcomSoft blog
iOS Forensic Toolkit Tips & Tricks
For forensic experts dealing with mobile devices, having a reliable and efficient forensic solution is crucial. Elcomsoft iOS Forensic Toolkit is an all-in-one software that aids in extracting data from iOS devices, yet it is still far away from being a one…
👍4