Сегодня выступаю на нижегородском defcon.
Трансляция будет здесь в 15:40 там должна быть наша презентация
RutheniumOS. Забота о себе, или зачем нужна ещё одна приватная ОС на базе AOSP

Как разработать собственный сканер уязвимостей и спроектировать безопасный сервис аутентификации

Об этом и не только вы узнаете на конференции по безопасности приложений SafeCode 2024.

Конференция SafeCode пройдет впервые 13–14 марта онлайн. На ней соберутся эксперты и аналитики по ИБ, security-чемпионы, тестировщики, пентестеры, разработчики, хакеры, системные администраторы, DevOps- и SRE-инженеры.

Основные темы программы:
✔ DevSecOps
✔ Аналитика
✔ ML
✔ Инструменты
✔ Люди и карьера

Два десятка докладов от экспертов в области безопасности приложений из СберМаркета, Kaspersky, Яндекса, Авито, VK Tech. Также вас ждут обсуждения от Программного комитета — в формате круглого стола и интервью с экспертами отрасли.

Подробности и билеты — на сайте SafeCode.

Загляните в нашу статью о том, как убедить работодателя отправить вас на конференцию. Но если решите купить билет за свой счет, то промокод POXEK даст скидку 10% на билеты для частных лиц.

Реклама. ООО «Джуг Ру Груп». ИНН 7801341446

И я там буду выступать, снова про мобилки:

Страх и ненависть в мобильных приложениях: какие уязвимости актуальны до сих пор и как их найти?

Поговорим про баги, какие они бывают, что они с собой несут, как их искать и устранять :)

Присоединяйтесь, будет весело!

Все приложения в RuMarket проверяют на безопасность. Но мы пошли еще дальше и подружились с сервисом «Стингрей».

«Стингрей» выполняет тщательную проверку приложений. С его помощью разработчики могут узнать о уязвимостях, которые не обнаружит ни один другой инструмент. Причем сервис предлагает подробные рекомендации о том, как все поправить.

Если разработчики воспользовались «Стингрей» и учли замечания, модераторы RuMarket ставят приложению галочку проверки — так вы будете знать, что все хорошо.

RuMarket

Интеграция с RuMarket

А вот такой повод я не могу пропустить :)

Помните статью про сторы и то, как мы загружали туда нашпигованное уязвимостями приложение?

Так вот, теперь наш продукт Стингрей официально интегрирован с магазином приложений RuMarket! Теперь каждое загружаемое приложение будет проверено нами и разработчик получит отчет о том, что можно улучшить в его продукте.

Я считаю это очень важным шагом в развитии безопасности мобильных приложений и что теперь каждое приложение, которое будет загружено получит возможность узнать, что скрывается внутри с точки зрения безопасности.

Мы будем наращивать количество проверок и возможностей в этой интеграции и уверены, что в следующем нашем исследовании приложения станут намного безопаснее ;)

#Стингрей #rumarket

В какие игры вы играете?

Всем привет! Прошу вас поучаствовать в небольшом опросе на развлекательную тему.

Я тут небольшую статью пишу, расскажите, пожалуйста, если вы играете иногда, то во что?

Я старый, поэтому иногда играю в CS 1.6 и в Героев 3 (те, что меча и магии).

Опрос с несколькими вариантами ответа, если есть другие варианты, напишите, пожалуйста, в комментариях :)

Если выбрали вариант «Другое», напишите вариант в комментах, пожалуйста)

Минутка эфира

Коллеги из Awillix завтра (вернее уже сегодня) затронут очень интересную тему, из чего состоит стоимость пентеста?

Крайне занятая тема, для начала она достаточно приватная и щепетильная. Почему вам называют одну цену, а компании за стеной совершенно другую?

У меня есть соображения, но крайне интересно послушать мнение коллег.

Продолжаем разбирать прикольные уязвимости. На этот раз у нас уязвимость в библиотеке Jetpack Navigation. Суть ее в том, что она позволяет стороннему приложению открыть любой экран атакуемого приложения и передать туда параметры. Круто звучит? Вот и я так думаю. А Google не считает это уязвимостью и после получения репорта нам ответили, что "поправят документацию". Не будь как Google, исправляй ошибки в своих приложениях! И знай чем грозит использование библиотеки Navigation.

Территория Безопасности: Все про ИБ

4-го апреля в Москве пройдет конференция по Безопасности под названием «Территория Безопасности: Все про ИБ».

Я участвую там со стендом и докладом! Как обычно, у нас будет весело :)
Много активностей, приятные люди на стендах, живое общение, печеньки и конкурсы :)

Несмотря на более серьезное мероприятие, мы приготовили много интересного ;)

Регистрация доступна по ссылке, приходите, послушайте и поиграйте с нами :)

#proib #территорияБезопасности

:D

SSRF in Mobile Security Framework (MobSF) version 3.9.5 Beta and prior (CVE-2024-29190)
MobSF does not perform any input validation when extracting the hostnames in android:host, so requests can also be sent to local hostnames. This can lead to server-side request forgery (SSRF). An attacker can cause the server to make a connection to internal-only services within the organization's infrastructure
https://github.com/MobSF/Mobile-Security-Framework-MobSF/security/advisories/GHSA-wfgj-wrgh-h3r3

Любите ли вы играть и геймдев?)

Помните, некоторое время назад я проводил опрос по играм?

Мы готовили материал и он наконец-то вышел!

На мой взгляд, получилась шикарная статья. Когда ее читал, вспомнил, как играли с друзьями когда-то, как карты для Heroes 3 рисовали, по локалке играли на турнирах в CS 1.6

Вот же было время!

В общем, получилась классная смесь из воспоминаний и фактов о безопасности этих самых игр.

Спасибо всем, кто писал этот материал :)

И приятного чтения :)

#gamedev #security

Make drozer great again

Не могу пройти мимо этой новости, спустя 7 долгих лет произошло обновление любимого многими инструмента drozer

Теперь он поддерживает python3! И очень надеюсь на добавление нового функционала.

Плюс, авторы обновили и репо с уязвимым приложением, которое показывает основные уязвимости Android приложений.
Ну и небольшое прохождение, которое показывает возможности drozer.

Пока что не поддерживается запуск на Windows и есть определенные проблемы со стабильностью в ряде случаев, но все равно это по настоящему возрождение легенды :)

#drozer #android

Очень понравился комментарий к одну из постов об этой новости:

«Дважды перепроверил, что сегодня не первое апреля»

😅😅😅

Территория Безопасности

Конференция закончилась и вышла очень крутой, мне прям действительно понравилась, хотя обычно мы выступаем на более технических конференциях, вчера атмосфера была супер позитивной. Спасибо участникам и организаторам (особенно за обилие еды и десертиков) 😄


И очень приятно слышать такую обратную связь после конференций и выступлений! Это заставляет тебя снова и снова выступать и делиться тем, что знаешь с окружающими (ну или хотя бы их веселить).

Спасибо большое за комментарии и вашу поддержку, это очень важно на самом деле!

Всем хорошей пятницы и хорошо отдохнуть на выходных!

83% мобильных приложений содержат уязвимости высокого и критического уровня. С одной стороны у разработчиков значительно возрос осознанный подход к безопасности их приложений, но с другой стороны качество сборок многих приложений просело в связи с необходимостью быстро выкладывать приложения в сторы с «неповторимым» кодом, чтобы не сличили (из-за санкций).

Было удивительно узнать, что многие приложения хранят в открытом виде пинкоды, пароли и другую чувствительную информацию, а также имеют множество уязвимостей, инъекции и тд. Это касается и банковских сервисов. Travel и hotel tech тоже не исключение.

Поэтому разработка команды Юрия Шабалина (со мной на фото) очень актуальна сейчас. Не случайно коллеги показывают взрывной рост продаж за 2023 год.

Стингрей оказывает разработчикам помощь в автоматизированном поиске уязвимости в их приложениях. Весьма актуально сегодня, особенно для сервисов, которые относятся к критической информационной инфраструктуре.

Я уверен, что обеспечение безопасности пользователей сервисов (b2c, b2b) - это прежде всего обязанность самих сервисов.

Мы планируем протестировать Стингрей на своем приложении.

Канал по безопасности мобильных приложений: https://t.me/mobile_appsec_world