Анализ и патч DEX-файлов
Как правило модификация приложений происходит через распаковку Android-приложения до smali-кода (например, через apktool), изменение и потом запаковку обратно.
В статье используют немного другой подход, работу напрямую с dex-файлами при помощи инструмента dexmod
Весьма необычный подход, даже не знаю, для чего его лучше использовать. Ну, в статье приводится интересный пример, конечно, когда внутри dex-файла заменяют обфусуированные значения обычными, что упрощает анализ, но все равно похоже на частный случай.
Тем не менее статья интересна теоретической частью про структуру dex-файлов и способах их анализа.
В любом случае, весьма интересно было изучить.
Приятного чтения!
#dex #android #patch
Как правило модификация приложений происходит через распаковку Android-приложения до smali-кода (например, через apktool), изменение и потом запаковку обратно.
В статье используют немного другой подход, работу напрямую с dex-файлами при помощи инструмента dexmod
Весьма необычный подход, даже не знаю, для чего его лучше использовать. Ну, в статье приводится интересный пример, конечно, когда внутри dex-файла заменяют обфусуированные значения обычными, что упрощает анализ, но все равно похоже на частный случай.
Тем не менее статья интересна теоретической частью про структуру dex-файлов и способах их анализа.
В любом случае, весьма интересно было изучить.
Приятного чтения!
#dex #android #patch
Google Cloud Blog
Delving into Dalvik: A Look Into DEX Files | Google Cloud Blog
Insight into the Dalvik Executable file format, how it is constructed, and how it can be altered to make analysis easier.
Инъекции кода в Android без использования ptrace
Детальная, подробная, техническая статья про проект, который позволяет инжектить код в процессы на Android без использования ptrace.
Очень круто описан и сам процесс, как заинжектить код, как технически это возможно и рассказ автора про свой путь написания.
На мой взгляд, это конечно, не полноценный и готовый проект, но очень интересный посыл и, возможно способ обойти некоторые изощренные проверки :) ну и в целом крайне познавательно понимать, как именно все это работает изнутри, хотя и все-таки достаточно сложно.
Радует большое количество отсылок к различным статьям, так что вдумчивое чтение не на один час 😅
Приятного изучения!
#android #ptrace #libinjection
Детальная, подробная, техническая статья про проект, который позволяет инжектить код в процессы на Android без использования ptrace.
Очень круто описан и сам процесс, как заинжектить код, как технически это возможно и рассказ автора про свой путь написания.
На мой взгляд, это конечно, не полноценный и готовый проект, но очень интересный посыл и, возможно способ обойти некоторые изощренные проверки :) ну и в целом крайне познавательно понимать, как именно все это работает изнутри, хотя и все-таки достаточно сложно.
Радует большое количество отсылок к различным статьям, так что вдумчивое чтение не на один час 😅
Приятного изучения!
#android #ptrace #libinjection
erfur's bits and pieces
Code injection on Android without ptrace
Forwarded from Security Champions (Leila Galimova)
Как провести фаззинг REST API с помощью RESTler
В статье на Хабре Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security, расскажет, как провести фаззинг-тестирование API c помощью инструмента RESTler, имея на руках только спецификацию API.
Статья написана в соавторстве с инженером по безопасности Swordfish Security, Артемом Мурадяном. Читать статью.
В статье на Хабре Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security, расскажет, как провести фаззинг-тестирование API c помощью инструмента RESTler, имея на руках только спецификацию API.
Статья написана в соавторстве с инженером по безопасности Swordfish Security, Артемом Мурадяном. Читать статью.
Хабр
Как провести фаззинг REST API с помощью RESTler
Вступление Привет, Хабр! С вами Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security. Современная разработка программного обеспечения требует...
Тестирование API
Мои коллеги из Swordfish Security (кстати репост с нашего канала, рекомендую подписаться), написали уже ряд статей по тестированию API при помощи инструмента RESTler. А также выступили с докладом по аналогичной тематике на PHDays.
На самом деле удивительно, но весьма интересный инструмент, который после статей ребят раскрылся для меня с новой стороны. Вполне возможно, что в будущем мы рассмотрим его в качестве движка для тестирования API в Стинг. В каждом из инструментов есть свои сложности, но на первый взгляд выглядит, как неплохое начало.
В общем, однозначно рекомендую и канал и статьи и инструмент :)
Хорошего вечера воскресенья!
#rest #apisecurity #restler #swordfish
Мои коллеги из Swordfish Security (кстати репост с нашего канала, рекомендую подписаться), написали уже ряд статей по тестированию API при помощи инструмента RESTler. А также выступили с докладом по аналогичной тематике на PHDays.
На самом деле удивительно, но весьма интересный инструмент, который после статей ребят раскрылся для меня с новой стороны. Вполне возможно, что в будущем мы рассмотрим его в качестве движка для тестирования API в Стинг. В каждом из инструментов есть свои сложности, но на первый взгляд выглядит, как неплохое начало.
В общем, однозначно рекомендую и канал и статьи и инструмент :)
Хорошего вечера воскресенья!
#rest #apisecurity #restler #swordfish
Telegram
Security Champions
Официальный канал ГК Swordfish Security. Мы помогаем компаниям выстраивать качественный и эффективный процесс безопасной разработки: https://swordfish-security.ru/
💬Наш чат: https://t.me/sfsecuritychampionschat
💬Наш чат: https://t.me/sfsecuritychampionschat
Mobile AppSec World
Встреча Mobile AppSec Club в Москве! Всем привет! В прошлый раз мы с вами встречались в октябре прошлого года и, как мне кажется, все прошло очень круто! Я был очень рад видеть всех вживую, пообщаться, рассказать свои истории, послушать других) Очень классный…
Уже скоро, в четверг, встретимся с вами в баре!
Всем привет!
Уже совсем скоро мы встретимся с вами в баре на Бауманской, приходите, я буду очень-очень рад встретиться со всеми лично и поболтать за безопасность)
Сбор с 19 до 20, начало полу-официальных докладов под хорошее настроение и пиво примерно с 20-00.
В этот раз радовать вас выступлениями буду не только я (расскажу про исследование и про потрясные находки в приложениях) и рад представить вам второго спикера - Сергей Зыбнев(@szybnev), автор канала Похек, пентестер и очень позитивный человек), который расскажет нам, как он проходил квест на социальную инженерию на PhDays и что ему за это сделали)
И будет еще один участник, которого представлю чуть позже, чтобы чуть сохранить интригу от такого крутого доклада )
Stay Tuned!
Всем привет!
Уже совсем скоро мы встретимся с вами в баре на Бауманской, приходите, я буду очень-очень рад встретиться со всеми лично и поболтать за безопасность)
Сбор с 19 до 20, начало полу-официальных докладов под хорошее настроение и пиво примерно с 20-00.
В этот раз радовать вас выступлениями буду не только я (расскажу про исследование и про потрясные находки в приложениях) и рад представить вам второго спикера - Сергей Зыбнев(@szybnev), автор канала Похек, пентестер и очень позитивный человек), который расскажет нам, как он проходил квест на социальную инженерию на PhDays и что ему за это сделали)
И будет еще один участник, которого представлю чуть позже, чтобы чуть сохранить интригу от такого крутого доклада )
Stay Tuned!
Axiom-pub.eatout.ru
Пивной бар Axiom pub на Спартаковской площади (метро Бауманская, Красносельская): телефон, цены, график работы
Пивной бар Axiom pub: запись и цены, фотографии ресторана, официальный сайт, адрес: Москва, Спартаковская площадь, 16/15 ст2 (метро Бауманская, Красносельская). Телефон: +7 (916) 091-59-64.
Mobile AppSec World
Уже скоро, в четверг, встретимся с вами в баре! Всем привет! Уже совсем скоро мы встретимся с вами в баре на Бауманской, приходите, я буду очень-очень рад встретиться со всеми лично и поболтать за безопасность) Сбор с 19 до 20, начало полу-официальных…
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Android Guards
В свежем бюллетене безопасности Android есть неприметная CVE-шка c традиционно мутным описанием и не менее мутным патчем. Зачем гугл так делает - загадка. Но хорошо, что есть не только "не прекрасный" гугл, но еще и нормальные исследователи которые это нашли, зарепортили и сделали очень подробный разбор.
Суть проблемы: имея разрешение
Да, разрешение не самое простое, но во-первых его имеет
#cve
Суть проблемы: имея разрешение
WRITE_SECURE_SETTINGS можно выполнять код от имени любого приложения в системе. Да, разрешение не самое простое, но во-первых его имеет
adb, а во-вторых устройства и сценарии бывают разные. Поэтому однозначно рекомендую ознакомится с разбором.#cve
Meta Red Team X
Becoming any Android app via Zygote command injection
We have discovered a vulnerability in Android that allows an attacker with the WRITE_SECURE_SETTINGS permission, which is held by the ADB shell and certain privileged apps, to execute arbitrary code as any app on a device. By doing so, they can read and write…
Mobile AppSec World
Встреча Mobile AppSec Club в Москве! Всем привет! В прошлый раз мы с вами встречались в октябре прошлого года и, как мне кажется, все прошло очень круто! Я был очень рад видеть всех вживую, пообщаться, рассказать свои истории, послушать других) Очень классный…
А вот и четвертый спикер нашего уютного клуба
Всем привет! Я рад вам представить четвертого спикера нашего завтрашнего мероприятия (очень надеюсь, что не будет дождя и все доедут).
И им будет Игорь Кривонос (@AndroidDevSec), мой коллега, автор множества курсов, заслуженный тренер и шикарный пентестер!
Расскажет про разные интересные находки за время пентестов, интересные и не очень баги, соответствие требованиям и кучу других интересных штук! Я с огромным удовольствием всегда слушаю Игоря, он умеет хорошо и красиво рассказывать, да и технически всегда интересно!
#сходка #appsecmeetup #mobileappsecclub
Всем привет! Я рад вам представить четвертого спикера нашего завтрашнего мероприятия (очень надеюсь, что не будет дождя и все доедут).
И им будет Игорь Кривонос (@AndroidDevSec), мой коллега, автор множества курсов, заслуженный тренер и шикарный пентестер!
Расскажет про разные интересные находки за время пентестов, интересные и не очень баги, соответствие требованиям и кучу других интересных штук! Я с огромным удовольствием всегда слушаю Игоря, он умеет хорошо и красиво рассказывать, да и технически всегда интересно!
#сходка #appsecmeetup #mobileappsecclub
Встречаемся уже сегодня! Mobile AppSec Club #2
Всем привет!
Сегодня встречаемся в баре AXIOM PUB (Спартаковская площадь, 16/15 ст2, м. Бауманская, Красносельская).
Примерный план действий:
- С 19 до 20 ждем всех, кто приезжает и прибывает, пьем, знакомимся и веселимся
- Где-то примерно с 20 начинаем потихоньку с докладами
- Я расскажу про исследование и прикольные находки в мобилках
- Сергей Зыбнев расскажет про квест на соц. инженерию на PHD
- Александр Вир расскажет про систему Android, ее историю и особенности
- Игорь Кривонос расскжет увлекательные истории про мобильный пентест и обзор найденных багов
Ну а после свободная программа)) Если кто-то хочет рассказать историю из жизни или как-то дополнить рассказы коллег, то не стесняйтесь, времени хватит всем))
Очень жду всех, кто сможет придти и поболтать/послушать, а главное выпить с нами в этот прекрасный вечер!
#сходка #appsecmeetup #mobileappsecclub
Всем привет!
Сегодня встречаемся в баре AXIOM PUB (Спартаковская площадь, 16/15 ст2, м. Бауманская, Красносельская).
Примерный план действий:
- С 19 до 20 ждем всех, кто приезжает и прибывает, пьем, знакомимся и веселимся
- Где-то примерно с 20 начинаем потихоньку с докладами
- Я расскажу про исследование и прикольные находки в мобилках
- Сергей Зыбнев расскажет про квест на соц. инженерию на PHD
- Александр Вир расскажет про систему Android, ее историю и особенности
- Игорь Кривонос расскжет увлекательные истории про мобильный пентест и обзор найденных багов
Ну а после свободная программа)) Если кто-то хочет рассказать историю из жизни или как-то дополнить рассказы коллег, то не стесняйтесь, времени хватит всем))
Очень жду всех, кто сможет придти и поболтать/послушать, а главное выпить с нами в этот прекрасный вечер!
#сходка #appsecmeetup #mobileappsecclub
Axiom-pub.eatout.ru
Пивной бар Axiom pub на Спартаковской площади (метро Бауманская, Красносельская): телефон, цены, график работы
Пивной бар Axiom pub: запись и цены, фотографии ресторана, официальный сайт, адрес: Москва, Спартаковская площадь, 16/15 ст2 (метро Бауманская, Красносельская). Телефон: +7 (916) 091-59-64.
Как добраться (для таких же, как я)
Вот вам серия фоток, как дойти до нужного места :)
Вот вам серия фоток, как дойти до нужного места :)
Mobile Appsec Club #2!
Спасибо всем огромнейшее за чудесный, уютный вечер! :)
Я был безумно рад увидеть всех, поболтать, выпить и послушать отличные доклады!
Спасибо, что смогли найти время и пришли! Очень было приятно вживую познакомиться и увидеть всех не только в экране телефона :D
Я думаю, ещё не раз соберемся в подобном формате, мне кажется, он очень классный!
Если кто фоткал, скидывайте в чатик, авторы могут выложить свои презы при желании :)
Отдельное спасибо Сергею, Саше и Игорю за бомбические доклады! 🔥
#mobileappsecclub
Спасибо всем огромнейшее за чудесный, уютный вечер! :)
Я был безумно рад увидеть всех, поболтать, выпить и послушать отличные доклады!
Спасибо, что смогли найти время и пришли! Очень было приятно вживую познакомиться и увидеть всех не только в экране телефона :D
Я думаю, ещё не раз соберемся в подобном формате, мне кажется, он очень классный!
Если кто фоткал, скидывайте в чатик, авторы могут выложить свои презы при желании :)
Отдельное спасибо Сергею, Саше и Игорю за бомбические доклады! 🔥
#mobileappsecclub