Сегодня завершается Skolkovo Cyber Security Challenge и наша система Stingray для анализа безопасности мобильных приложений снова в финале, второй год подряд!
Очень волнуюсь, конечно, но уверен, что выступим достойно 😁
К сожалению, мероприятие закрытое, но все записи выступлений будут доступны 21 мая.
#Skolkovo #Challenge #Stingray #StartupVillage
https://stingray.appsec.global/
Очень волнуюсь, конечно, но уверен, что выступим достойно 😁
К сожалению, мероприятие закрытое, но все записи выступлений будут доступны 21 мая.
#Skolkovo #Challenge #Stingray #StartupVillage
https://stingray.appsec.global/
Stingray
Система "Стингрей" - все что нужно для обеспечения безопасности ваших приложений на Android и iOS - Stingray
Mobile AppSec World
Вебинар по динамическому анализу приложений Друзья, через десять минут начинается наш первый вебинар - "Динамический анализ приложений". Очень волнительный первый опыт проведения подобных мероприятий 😁 Поговорим про динамику для мобильных и веб-приложений…
Запись с вебинара
Всем привет! Выложили запись с вебинара, кто не успел поприсутствовать лично, можно посмотреть в комфортное время.
Вроде получился достаточно неплохой обзор практик, которые можно применять при анализе мобильных приложений и немного рассказал про то, как динамику проводим мы. Может быть немного по капитански, но я правда старался) Первое подобное мероприятие, которое относится непосредственно к тому, что я делаю, так что было немного волнительно 😀
Формат достаточно неплохо зашел, так что подумаем над тем, чтобы его продолжить в виде нескольких видео по нашему продукту и как мы реализовали поиск интересных дефектов.
Stayu tuned, как говорится 😃
#Webinar #record #stingray
Всем привет! Выложили запись с вебинара, кто не успел поприсутствовать лично, можно посмотреть в комфортное время.
Вроде получился достаточно неплохой обзор практик, которые можно применять при анализе мобильных приложений и немного рассказал про то, как динамику проводим мы. Может быть немного по капитански, но я правда старался) Первое подобное мероприятие, которое относится непосредственно к тому, что я делаю, так что было немного волнительно 😀
Формат достаточно неплохо зашел, так что подумаем над тем, чтобы его продолжить в виде нескольких видео по нашему продукту и как мы реализовали поиск интересных дефектов.
Stayu tuned, как говорится 😃
#Webinar #record #stingray
YouTube
Вебинар | DevSecOps Динамический анализ приложений | Безопасность мобильных приложений
Первая часть вебинара «DevSecOps. Динамический анализ приложений», прошедшего 25 мая 2021 года.
Юрий Шабалин рассказывает про практики анализа мобильных приложений, демонстрирует систему динамического анализа приложений на Android и iOS, отвечает на вопросы.…
Юрий Шабалин рассказывает про практики анализа мобильных приложений, демонстрирует систему динамического анализа приложений на Android и iOS, отвечает на вопросы.…
Подкаст про динамический анализ приложений
И еще одна отличная новость)
Поучаствовали с нашим ведущим разработчиком (@jd7drw) в подкасте про системы динамического анализа мобилок. Спасибо большое за приглашение каналу Android Guards и лично @OxFi5t, было очень здорово! 😎
В выпуске постарались рассказать много интересных вещей, но как это обычно бывает - много чего осталось за кадром и кучу вещей хочется после выпуска сказать немного по другому. Ну и вечный синдром самозванца - кажется, что это всё очевидно и никому не интересно 😁
Надеюсь, что вам понравится и обязательно оставляйте комментарии и вопросы) Очень интересно, что вы думаете обо всех этих очередных "сканилках" 😉
#Podcast #Android #Stingray
И еще одна отличная новость)
Поучаствовали с нашим ведущим разработчиком (@jd7drw) в подкасте про системы динамического анализа мобилок. Спасибо большое за приглашение каналу Android Guards и лично @OxFi5t, было очень здорово! 😎
В выпуске постарались рассказать много интересных вещей, но как это обычно бывает - много чего осталось за кадром и кучу вещей хочется после выпуска сказать немного по другому. Ну и вечный синдром самозванца - кажется, что это всё очевидно и никому не интересно 😁
Надеюсь, что вам понравится и обязательно оставляйте комментарии и вопросы) Очень интересно, что вы думаете обо всех этих очередных "сканилках" 😉
#Podcast #Android #Stingray
Telegram
Android Guards
Статьи, исследования, полезные ссылки и многое другое из мира безопасности Android платформы и приложений. Только проверенный контент!
YouTube: https://www.youtube.com/c/AndroidGuards
Поблагодарить: https://t.me/+oMgsdsq2ydY5MjQy
YouTube: https://www.youtube.com/c/AndroidGuards
Поблагодарить: https://t.me/+oMgsdsq2ydY5MjQy
Импорт HTTP Archive (HAR) в Burp Suite
Для начала, всех с наступившим годом и практически прошедшим первым месяцем работы. Надеюсь, что у вас он оказался таким же плодотворным, как и у меня 🥳
Ну, а в качестве первого поста в этом году, я хотел бы поделиться некоторыми нашими наработками. А именно - импортом файлов формата HAR в Burp Suite для дальнейшего анализа и сканирования API.
Во время автоматического анализа мобильных приложения мы перехватываем трафик и снимаем SSL Pinning, ну а потом переводит всё сетевое общение бэка и приложения в удобный читаемый формат. В планах самим проводить различные проверки безопасности API, но пока это находится в разработке, мы используем интеграции с другими системами динамического анализа (DAST). Интеграция - выгрузить сетевые запросы в таком формате, чтобы их смогли импортировать к себе различные Web-сканеры.
Таким форматом и стал HTTP архив. Это достаточно стандартный формат, самый простой способ его получить это открыть "Инструменты разработчика" в браузере и на вкладке Networking выбрать пункт "Save as HAR". В результате мы получим некоторый json-файлик, который будет содержать все request/response с заголовками и т.д. Различные Enterprise инструменты вроде Acunetix, Netsparker и остальные умеют парсить такой формат и на его основе проводить сканирование.
Я был достаточно сильно удивлен, что в BurpSuite нельзя его импортировать (а может просто плохо искал). Есть вот такой плагин, но для него нужно сначала конвертировать HAR в csv, а только потом уже импортить его (при этом часть данных у меня терялась).
В итоге, мы написали свой плагин для того, чтобы в SiteMap берпа можно было импортировать чистый HAR и дальше запускать скан или делать то, что обычно делают =) У плагина есть две версии, для GUI и для headless режима, что может быть удобным для дальнейшей автоматизации.
Теперь станет чуть удобнее отправлять собранный трафик в Burp и "краулить" API, достаточно просто в браузере мышкой потыкать и сохранить все запросы 🤓
А тем, кто в компаниях занимается AppSec есть небольшой бонус. Если в вашей компании используются UI-тесты (например каким-нибудь Selenium), то можно в них добавить небольшое изменение и они будут сохранять HAR-файлы с трафиком, который происходил во время прогона тестов. Дальше их можно автоматически забирать, отдавать в Burp и проводить активное сканирование. В зависимости от покрытия автотестами, можно каждую сборку после автотестов прогонять на безопасность и иметь всегда актуальный снимок трафика вашего приложения. Ну а можно просто с тестировщиками договориться, что бы они при прогоне ручных тестов сохраняли из браузера этот HAR-файлик.
Надеюсь, что кому-то эта информация и эти плагины помогут в построении процессов безопасной разработки или немного упростят жизнь, ну а мы планируем их поддерживать и дальше развивать.
Всем хорошей пятницы 😁
#stingray #traffic #burp #har
Для начала, всех с наступившим годом и практически прошедшим первым месяцем работы. Надеюсь, что у вас он оказался таким же плодотворным, как и у меня 🥳
Ну, а в качестве первого поста в этом году, я хотел бы поделиться некоторыми нашими наработками. А именно - импортом файлов формата HAR в Burp Suite для дальнейшего анализа и сканирования API.
Во время автоматического анализа мобильных приложения мы перехватываем трафик и снимаем SSL Pinning, ну а потом переводит всё сетевое общение бэка и приложения в удобный читаемый формат. В планах самим проводить различные проверки безопасности API, но пока это находится в разработке, мы используем интеграции с другими системами динамического анализа (DAST). Интеграция - выгрузить сетевые запросы в таком формате, чтобы их смогли импортировать к себе различные Web-сканеры.
Таким форматом и стал HTTP архив. Это достаточно стандартный формат, самый простой способ его получить это открыть "Инструменты разработчика" в браузере и на вкладке Networking выбрать пункт "Save as HAR". В результате мы получим некоторый json-файлик, который будет содержать все request/response с заголовками и т.д. Различные Enterprise инструменты вроде Acunetix, Netsparker и остальные умеют парсить такой формат и на его основе проводить сканирование.
Я был достаточно сильно удивлен, что в BurpSuite нельзя его импортировать (а может просто плохо искал). Есть вот такой плагин, но для него нужно сначала конвертировать HAR в csv, а только потом уже импортить его (при этом часть данных у меня терялась).
В итоге, мы написали свой плагин для того, чтобы в SiteMap берпа можно было импортировать чистый HAR и дальше запускать скан или делать то, что обычно делают =) У плагина есть две версии, для GUI и для headless режима, что может быть удобным для дальнейшей автоматизации.
Теперь станет чуть удобнее отправлять собранный трафик в Burp и "краулить" API, достаточно просто в браузере мышкой потыкать и сохранить все запросы 🤓
А тем, кто в компаниях занимается AppSec есть небольшой бонус. Если в вашей компании используются UI-тесты (например каким-нибудь Selenium), то можно в них добавить небольшое изменение и они будут сохранять HAR-файлы с трафиком, который происходил во время прогона тестов. Дальше их можно автоматически забирать, отдавать в Burp и проводить активное сканирование. В зависимости от покрытия автотестами, можно каждую сборку после автотестов прогонять на безопасность и иметь всегда актуальный снимок трафика вашего приложения. Ну а можно просто с тестировщиками договориться, что бы они при прогоне ручных тестов сохраняли из браузера этот HAR-файлик.
Надеюсь, что кому-то эта информация и эти плагины помогут в построении процессов безопасной разработки или немного упростят жизнь, ну а мы планируем их поддерживать и дальше развивать.
Всем хорошей пятницы 😁
#stingray #traffic #burp #har
Знай свои секреты. Поиск и автоматическая проверка секретов сторонних сервисов
Что-то в последнее время много постов на канале про моё творчество, но, наверное, это и неплохо :)
И вот вам занятное на почитать между праздниками, статья о хранении секретов в мобильных приложениях.
А именно о том, что происходит с аутентификационными данными от сторонних сервисов, которые мы так любим использовать, о том, как их искать и автоматически проверять на валидность, какие инструменты есть для решения подобных задач и как это всё автоматизировать.
Надеюсь, что для кого-то эта статья окажется полезной и он сможет применить некоторые подходы в своей работе!
Спасибо и хороших вторых выходных 😄
#habr #secrets #stingray
Что-то в последнее время много постов на канале про моё творчество, но, наверное, это и неплохо :)
И вот вам занятное на почитать между праздниками, статья о хранении секретов в мобильных приложениях.
А именно о том, что происходит с аутентификационными данными от сторонних сервисов, которые мы так любим использовать, о том, как их искать и автоматически проверять на валидность, какие инструменты есть для решения подобных задач и как это всё автоматизировать.
Надеюсь, что для кого-то эта статья окажется полезной и он сможет применить некоторые подходы в своей работе!
Спасибо и хороших вторых выходных 😄
#habr #secrets #stingray
Хабр
Знай свои секреты. Поиск и автоматическая проверка секретов сторонних сервисов
Привет, Хабр! По традиции, представлюсь, меня зовут Юрий Шабалин, и вместе с командой Стингрей мы разрабатываем платформу анализа защищенности мобильных приложений. Сегодня я хотел бы рассказать о...
Демо нашего инструмента для динамического анализа мобильных приложений - Stingray
Всем привет!
Как многие из вас знают, я занимаюсь разработкой инструмента по динамическому анализу мобильных приложений под названием Стингрей.
Недавно мы выпустили большое обновление и я подумал, что мне хотелось бы рассказать о том, что наш продукт вообще умеет, как работает и какие проблемы призван решить. В связи с этим вопрос, было бы вам интересно послушать про то, что мы делаем?
Предполагается свободный формат, без официальных введений, маркетинга, рекламы и прочего, просто я расскажу про то, чем мы занимаемся каждый день и отвечу на вопросы, если они будут.
Ниже прикреплю голосование и если будет интерес, то в ближайшее время проведем небольшое демо/рассказ о наших приключениях и пообщаемся немного за безопасность приложений =)
Всех с понедельником и хорошей, продуктивной работы!
#demo #stingray #poll
Всем привет!
Как многие из вас знают, я занимаюсь разработкой инструмента по динамическому анализу мобильных приложений под названием Стингрей.
Недавно мы выпустили большое обновление и я подумал, что мне хотелось бы рассказать о том, что наш продукт вообще умеет, как работает и какие проблемы призван решить. В связи с этим вопрос, было бы вам интересно послушать про то, что мы делаем?
Предполагается свободный формат, без официальных введений, маркетинга, рекламы и прочего, просто я расскажу про то, чем мы занимаемся каждый день и отвечу на вопросы, если они будут.
Ниже прикреплю голосование и если будет интерес, то в ближайшее время проведем небольшое демо/рассказ о наших приключениях и пообщаемся немного за безопасность приложений =)
Всех с понедельником и хорошей, продуктивной работы!
#demo #stingray #poll
Нелегкий путь к динамическому анализу мобильных приложений
В предверии демо, решил немного поделиться тем, что произошло с нашим продуктом за последние несколько месяцев.
А именно, с какими проблемами мы столкнулись, как их решали и чего добились. Вышло, на мой взгляд, достаточно интересно. Технической информации там не много, но я просто не мог не поделиться своими переживаниями и эмоциями от того, что нам удалось сделать.
Надеюсь, что вам тоже будет интересно почитать)
Спасибо!
#habr #stingray #release
В предверии демо, решил немного поделиться тем, что произошло с нашим продуктом за последние несколько месяцев.
А именно, с какими проблемами мы столкнулись, как их решали и чего добились. Вышло, на мой взгляд, достаточно интересно. Технической информации там не много, но я просто не мог не поделиться своими переживаниями и эмоциями от того, что нам удалось сделать.
Надеюсь, что вам тоже будет интересно почитать)
Спасибо!
#habr #stingray #release
Хабр
Нелегкий путь к динамическому анализу мобильных приложений
Привет, Хабр! Каждую свою статью я начинаю с упоминания о том, что наша команда разрабатывает платформу анализа защищенности мобильных приложений. Почему? Размещая свои посты, информацию, которая мне...