Использование Nuclei для поиска секретов в мобильных приложениях
Всем привет!
Честно говоря, смотря на заголовок статьи я ожидал что-то крутое с трафиком, автоматическую генерацию темплейтов для Nuclei и т.д.
Но реальность меня немного озадачила, статья про использование Nuclei для поиска паттернов в коде. Для Android это поиск ключей FCM, для iOS это поиск некорректно настроенного AppTransport Security. Я, конечно знал, что этот инструмент можно использовать для работы с кодом, но выглядит как оверкил. Тот же grep справился бы быстрее и привычнее.
Возможно, это будет полезно тем, кто и так использует Nuclei для работы и хотел бы получать все данные из единого источника и в одном формате. А может просто узнать чуть больше про возможности этого правда интересного инструмента.
Еще нашел рядышком репозиторий с правилами для поиска ключей. Их там, кстати, довольно много.
В любом случае, приятного чтения :)
#nuclei #android #ios
Всем привет!
Честно говоря, смотря на заголовок статьи я ожидал что-то крутое с трафиком, автоматическую генерацию темплейтов для Nuclei и т.д.
Но реальность меня немного озадачила, статья про использование Nuclei для поиска паттернов в коде. Для Android это поиск ключей FCM, для iOS это поиск некорректно настроенного AppTransport Security. Я, конечно знал, что этот инструмент можно использовать для работы с кодом, но выглядит как оверкил. Тот же grep справился бы быстрее и привычнее.
Возможно, это будет полезно тем, кто и так использует Nuclei для работы и хотел бы получать все данные из единого источника и в одном формате. А может просто узнать чуть больше про возможности этого правда интересного инструмента.
Еще нашел рядышком репозиторий с правилами для поиска ключей. Их там, кстати, довольно много.
В любом случае, приятного чтения :)
#nuclei #android #ios
Medium
How to Improve Your Android & iOS Static Analysis with Nuclei!
TL;DR: In this post, we will cover how to statically analyze Android and iOS applications using Nuclei. We’ll start:
Интересный инструмент для изменения ресурсов
Интересный инструмент APKEditor, никогда с ним ранее не сталкивался. Хорошо умеет изменять ресурсы внутри APK, собирать из нескольких split один standalone и прикольная штука с защитой ресурсов от дальнейшей модификации.
Инструмент активно дорабатывается и коммиты еще идут (23 апреля, 1 мая, 11 мая), так что есть надежда, что инструмент еще поживет какое-то время, а может даже будет развиваться!
В любом случае, может быть полезным, если нужно что-то быстренько поправить только в ресурсах.
Если кто-то его использует, отпишитесь, как оно, пожалуйста?
#android #smali #APK #tools
Интересный инструмент APKEditor, никогда с ним ранее не сталкивался. Хорошо умеет изменять ресурсы внутри APK, собирать из нескольких split один standalone и прикольная штука с защитой ресурсов от дальнейшей модификации.
Инструмент активно дорабатывается и коммиты еще идут (23 апреля, 1 мая, 11 мая), так что есть надежда, что инструмент еще поживет какое-то время, а может даже будет развиваться!
В любом случае, может быть полезным, если нужно что-то быстренько поправить только в ресурсах.
Если кто-то его использует, отпишитесь, как оно, пожалуйста?
#android #smali #APK #tools
GitHub
APKEditor/README.md at master · REAndroid/APKEditor
Powerful android apk editor - aapt/aapt2 independent - REAndroid/APKEditor
Использование Frida - функция memory.scan()
Крайне занятная статья, которая рассказывает, как и зачем можно применять функции поиска в памяти через Frida.
В статье эта функция используется для поиска захардкожкнного пинкода в нативной либе и замене значения по адресу на нужное.
Я никогда раньше не использовал такой подход, весьма интересная функция, думаю, что в ряде случаев может пригодиться.
Может и вы найдете это интересным :)
#frida #memory #scan #android
Крайне занятная статья, которая рассказывает, как и зачем можно применять функции поиска в памяти через Frida.
В статье эта функция используется для поиска захардкожкнного пинкода в нативной либе и замене значения по адресу на нужное.
Я никогда раньше не использовал такой подход, весьма интересная функция, думаю, что в ряде случаев может пригодиться.
Может и вы найдете это интересным :)
#frida #memory #scan #android
8kSec - 8kSec is a cybersecurity research & training company. We provide high-quality training & consulting services.
Advanced Frida Usage Part 9 – Memory Scanning in Android - 8kSec
In part-9 of Advanced Frida Usage, learn about API provided by frida called Memory.scan() which can help you to scan bytes from memory & help you to patch them.
Mobile AppSec World
Встреча Mobile Appsec Club Всем привет! Как и говорил в прошлом сообщении, хотим попробовать новый формат и собраться вместе в среду вечером, выпить и послушать (по результатам опроса) классные истории из жизни, интересные баги или просто поболтать. Встречаемся…
Встреча Mobile AppSec Club в Москве!
Всем привет!
В прошлый раз мы с вами встречались в октябре прошлого года и, как мне кажется, все прошло очень круто! Я был очень рад видеть всех вживую, пообщаться, рассказать свои истории, послушать других) Очень классный стендапчик получился с @szybnev
В общем, все прошло просто потрясно и мне бы хотелось повторить это классное мероприятие!
На этот раз оно пройдет в солнечную, прекрасную погоду, в баре с огромным выбором пива и отличным местоположением (да, я учел пожелания по напиткам 😄)
В программе будет рассказ о нашем исследовании, что мы проводили в прошлом году, о его результатах, о том как и зачем мы это делали и какие интересные тренды получилось заметить и о многом другом. Также расскажу про смешные случаи, интересные находки и вместе посмотрим на различные уязвимости, которые встречались нам в мобильных приложениях и рядом с ними.
Постараюсь найти еще спикеров, которые, уверен, тоже расскажут и покажут что-то крайне интересное и не только по мобилкам =)
Mobile AppSec Club #2 состоится 06.06.2024 в баре AXIOM PUB (Спартаковская площадь, 16/15 ст2, м. Бауманская, Красносельская). Начало вечером, предположительно в 19 / 20 часов
Очень жду всех, кто сможет придти и поболтать/послушать, а главное выпить с нами в этот солнечный и яркий день!
#сходка #appsecmeetup #mobileappsecclub
Всем привет!
В прошлый раз мы с вами встречались в октябре прошлого года и, как мне кажется, все прошло очень круто! Я был очень рад видеть всех вживую, пообщаться, рассказать свои истории, послушать других) Очень классный стендапчик получился с @szybnev
В общем, все прошло просто потрясно и мне бы хотелось повторить это классное мероприятие!
На этот раз оно пройдет в солнечную, прекрасную погоду, в баре с огромным выбором пива и отличным местоположением (да, я учел пожелания по напиткам 😄)
В программе будет рассказ о нашем исследовании, что мы проводили в прошлом году, о его результатах, о том как и зачем мы это делали и какие интересные тренды получилось заметить и о многом другом. Также расскажу про смешные случаи, интересные находки и вместе посмотрим на различные уязвимости, которые встречались нам в мобильных приложениях и рядом с ними.
Постараюсь найти еще спикеров, которые, уверен, тоже расскажут и покажут что-то крайне интересное и не только по мобилкам =)
Mobile AppSec Club #2 состоится 06.06.2024 в баре AXIOM PUB (Спартаковская площадь, 16/15 ст2, м. Бауманская, Красносельская). Начало вечером, предположительно в 19 / 20 часов
Очень жду всех, кто сможет придти и поболтать/послушать, а главное выпить с нами в этот солнечный и яркий день!
#сходка #appsecmeetup #mobileappsecclub
Придешь 06 июня на Mobile Appsec Club #2?
Anonymous Poll
25%
Да, конечно! 👍
34%
Нет, не смогу 👎
42%
Пока не знаю, но если получится обязательно буду!
Про хранение Third-party секретов в мобилках и неправильно настроенные Security-политики внешних сервисов
Настраиваем проксирование Windows-Flutter приложений
И снова про флаттер) Как-тов моей копилке собралось много материала по нему…
Но на этот раз это будут приложения, которые написаны под Windows. Весьма необычно и крайне мало информации про это.
Статья рассказывает, как устроены Flutter приложения, когда они собраны в exe файл. И главное, как настроить перехват трафика и как отключить SSL Pinning при помощи Frida. Автор любезно выложил проект на гитхаб, помимо детального описания работы в самой статье.
Конечно, не все так гладко у автора прошло и он не смог решить несколько вещей, которые (возможно), оставил на потом. Но как минимум одно рабочее решение точно есть 😅
Быть может, кому-то это будет полезно, особенно, если нужно собрать трафик, но нет опыта работы с мобильными приложениями.
Приятного чтения!
#flutter #windows #proxy #sslpinning
И снова про флаттер) Как-тов моей копилке собралось много материала по нему…
Но на этот раз это будут приложения, которые написаны под Windows. Весьма необычно и крайне мало информации про это.
Статья рассказывает, как устроены Flutter приложения, когда они собраны в exe файл. И главное, как настроить перехват трафика и как отключить SSL Pinning при помощи Frida. Автор любезно выложил проект на гитхаб, помимо детального описания работы в самой статье.
Конечно, не все так гладко у автора прошло и он не смог решить несколько вещей, которые (возможно), оставил на потом. Но как минимум одно рабочее решение точно есть 😅
Быть может, кому-то это будет полезно, особенно, если нужно собрать трафик, но нет опыта работы с мобильными приложениями.
Приятного чтения!
#flutter #windows #proxy #sslpinning
Medium
Flutter Windows Thick Client SSL Pinning Bypass
I recently worked on a Flutter-based application and learned that it is different from other hybrid frameworks like React Native or…
Не про мобилки, но про контейнеры
Всем привет!
Знаю, что у вас широкий кругозор и разные интересы, которые не ограничиваются одними мобильными приложениями.
Поэтому, представляю вашему вниманию отличный вебинар от моих коллег по Container Security!
Приятного просмотра!
Всем привет!
Знаю, что у вас широкий кругозор и разные интересы, которые не ограничиваются одними мобильными приложениями.
Поэтому, представляю вашему вниманию отличный вебинар от моих коллег по Container Security!
Приятного просмотра!
Forwarded from Security Champions (Leila Galimova)
Друзья, запись вебинара «Container Security: как обеспечить безопасность контейнеров в жизненном цикле разработки ПО» уже ждет вас на нашем YouTube-канале ▶️
Также предлагаем вам закрепить полученные знания и навыки с помощью бесплатного демо-тренинга по Container Security.
🧑💻Программа тренинга:
1. Основы безопасности контейнеров.
2. Практики и нюансы.
3. Основные уязвимости и механики атак.
4. Тестирование для самопроверки.
Чтобы получить демо-доступ программы обучения на нашей платформе, укажите ключевое слово «контейнер» в форме для связи на нашем сайте.
Благодарим вас за участие и надеемся увидеть вас на наших следующих мероприятиях!
Запись доступна по ссылке 👈
Также предлагаем вам закрепить полученные знания и навыки с помощью бесплатного демо-тренинга по Container Security.
🧑💻Программа тренинга:
1. Основы безопасности контейнеров.
2. Практики и нюансы.
3. Основные уязвимости и механики атак.
4. Тестирование для самопроверки.
Чтобы получить демо-доступ программы обучения на нашей платформе, укажите ключевое слово «контейнер» в форме для связи на нашем сайте.
Благодарим вас за участие и надеемся увидеть вас на наших следующих мероприятиях!
Запись доступна по ссылке 👈
Mobile AppSec World
Встреча Mobile AppSec Club в Москве! Всем привет! В прошлый раз мы с вами встречались в октябре прошлого года и, как мне кажется, все прошло очень круто! Я был очень рад видеть всех вживую, пообщаться, рассказать свои истории, послушать других) Очень классный…
Маленькое напоминание Mobile AppSec Club
Друзья, PHDays кончился, все возвращаемся потихоньку в рабочее русло, читаем каналы, чаты))
Поэтому "Up" этому сообщению, отмечайтесь в голосовалке, если придете, это очень важно =)
И конечно, очень-очень всех жду!
Друзья, PHDays кончился, все возвращаемся потихоньку в рабочее русло, читаем каналы, чаты))
Поэтому "Up" этому сообщению, отмечайтесь в голосовалке, если придете, это очень важно =)
И конечно, очень-очень всех жду!
Защита от атак на Supply Chain, пособие для gradle
Всем привет!
В начале года была новость про атаку на цепочку поставок под названием MavenGate. И мы в своем продукте Стингрей очень быстро добавили возможность анализа на эту атаку.
И спустя некоторое время нашел очень подробную статью про техники защиты от подобных атак. Конечно, мы тоже давали рекомендации, но тут они максимально подробно расписаны и на примерах показано как и что нужно сделать.
На практике я пока ни разу не видел применение этих техник, но надеюсь, что в ближайшем будущем это станет обязательным при разработке приложений.
Всем, кто использует gradle рекомендую и советую.
#gradle #supplychain #defence
Всем привет!
В начале года была новость про атаку на цепочку поставок под названием MavenGate. И мы в своем продукте Стингрей очень быстро добавили возможность анализа на эту атаку.
И спустя некоторое время нашел очень подробную статью про техники защиты от подобных атак. Конечно, мы тоже давали рекомендации, но тут они максимально подробно расписаны и на примерах показано как и что нужно сделать.
На практике я пока ни разу не видел применение этих техник, но надеюсь, что в ближайшем будущем это станет обязательным при разработке приложений.
Всем, кто использует gradle рекомендую и советую.
#gradle #supplychain #defence
Telegram
Mobile AppSec World
И снова про MavenGate!
Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.
И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака…
Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.
И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака…
Please open Telegram to view this post
VIEW IN TELEGRAM
Анализ и патч DEX-файлов
Как правило модификация приложений происходит через распаковку Android-приложения до smali-кода (например, через apktool), изменение и потом запаковку обратно.
В статье используют немного другой подход, работу напрямую с dex-файлами при помощи инструмента dexmod
Весьма необычный подход, даже не знаю, для чего его лучше использовать. Ну, в статье приводится интересный пример, конечно, когда внутри dex-файла заменяют обфусуированные значения обычными, что упрощает анализ, но все равно похоже на частный случай.
Тем не менее статья интересна теоретической частью про структуру dex-файлов и способах их анализа.
В любом случае, весьма интересно было изучить.
Приятного чтения!
#dex #android #patch
Как правило модификация приложений происходит через распаковку Android-приложения до smali-кода (например, через apktool), изменение и потом запаковку обратно.
В статье используют немного другой подход, работу напрямую с dex-файлами при помощи инструмента dexmod
Весьма необычный подход, даже не знаю, для чего его лучше использовать. Ну, в статье приводится интересный пример, конечно, когда внутри dex-файла заменяют обфусуированные значения обычными, что упрощает анализ, но все равно похоже на частный случай.
Тем не менее статья интересна теоретической частью про структуру dex-файлов и способах их анализа.
В любом случае, весьма интересно было изучить.
Приятного чтения!
#dex #android #patch
Google Cloud Blog
Delving into Dalvik: A Look Into DEX Files | Google Cloud Blog
Insight into the Dalvik Executable file format, how it is constructed, and how it can be altered to make analysis easier.
Инъекции кода в Android без использования ptrace
Детальная, подробная, техническая статья про проект, который позволяет инжектить код в процессы на Android без использования ptrace.
Очень круто описан и сам процесс, как заинжектить код, как технически это возможно и рассказ автора про свой путь написания.
На мой взгляд, это конечно, не полноценный и готовый проект, но очень интересный посыл и, возможно способ обойти некоторые изощренные проверки :) ну и в целом крайне познавательно понимать, как именно все это работает изнутри, хотя и все-таки достаточно сложно.
Радует большое количество отсылок к различным статьям, так что вдумчивое чтение не на один час 😅
Приятного изучения!
#android #ptrace #libinjection
Детальная, подробная, техническая статья про проект, который позволяет инжектить код в процессы на Android без использования ptrace.
Очень круто описан и сам процесс, как заинжектить код, как технически это возможно и рассказ автора про свой путь написания.
На мой взгляд, это конечно, не полноценный и готовый проект, но очень интересный посыл и, возможно способ обойти некоторые изощренные проверки :) ну и в целом крайне познавательно понимать, как именно все это работает изнутри, хотя и все-таки достаточно сложно.
Радует большое количество отсылок к различным статьям, так что вдумчивое чтение не на один час 😅
Приятного изучения!
#android #ptrace #libinjection
erfur's bits and pieces
Code injection on Android without ptrace
Forwarded from Security Champions (Leila Galimova)
Как провести фаззинг REST API с помощью RESTler
В статье на Хабре Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security, расскажет, как провести фаззинг-тестирование API c помощью инструмента RESTler, имея на руках только спецификацию API.
Статья написана в соавторстве с инженером по безопасности Swordfish Security, Артемом Мурадяном. Читать статью.
В статье на Хабре Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security, расскажет, как провести фаззинг-тестирование API c помощью инструмента RESTler, имея на руках только спецификацию API.
Статья написана в соавторстве с инженером по безопасности Swordfish Security, Артемом Мурадяном. Читать статью.
Хабр
Как провести фаззинг REST API с помощью RESTler
Вступление Привет, Хабр! С вами Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security. Современная разработка программного обеспечения требует...
Тестирование API
Мои коллеги из Swordfish Security (кстати репост с нашего канала, рекомендую подписаться), написали уже ряд статей по тестированию API при помощи инструмента RESTler. А также выступили с докладом по аналогичной тематике на PHDays.
На самом деле удивительно, но весьма интересный инструмент, который после статей ребят раскрылся для меня с новой стороны. Вполне возможно, что в будущем мы рассмотрим его в качестве движка для тестирования API в Стинг. В каждом из инструментов есть свои сложности, но на первый взгляд выглядит, как неплохое начало.
В общем, однозначно рекомендую и канал и статьи и инструмент :)
Хорошего вечера воскресенья!
#rest #apisecurity #restler #swordfish
Мои коллеги из Swordfish Security (кстати репост с нашего канала, рекомендую подписаться), написали уже ряд статей по тестированию API при помощи инструмента RESTler. А также выступили с докладом по аналогичной тематике на PHDays.
На самом деле удивительно, но весьма интересный инструмент, который после статей ребят раскрылся для меня с новой стороны. Вполне возможно, что в будущем мы рассмотрим его в качестве движка для тестирования API в Стинг. В каждом из инструментов есть свои сложности, но на первый взгляд выглядит, как неплохое начало.
В общем, однозначно рекомендую и канал и статьи и инструмент :)
Хорошего вечера воскресенья!
#rest #apisecurity #restler #swordfish
Telegram
Security Champions
Официальный канал ГК Swordfish Security. Мы помогаем компаниям выстраивать качественный и эффективный процесс безопасной разработки: https://swordfish-security.ru/
💬Наш чат: https://t.me/sfsecuritychampionschat
💬Наш чат: https://t.me/sfsecuritychampionschat