Mobile AppSec World
5.29K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
​​Сначала я планировал выкладывать книги по одной, но подумал, что скачать все разом будет проще, удобнее и полезнее.

Так что встречайте, подборка книг по безопасности и анализу мобильных приложений под Android! Включает в себя:

- [A]ndroid [A]pplication [P]entest [G]uide - краткий немногословный гайд по различным тулам для анализа Android

- Android Hacker's Handbook - не самая свежая, но хорошая книга по анализу. Совмещает в себе и краткое описание структуры Android и методы "взлома"

- Android Malware and Analysis - очень хороший материал по семействам, типам малвари для Android, способам ее обнаружения различными методами (статический анализ, поведенческий анализ) и инструкциями по созданию собственной песочницы для экспериментов

- Android_Apps_Security - хорошая книга для начала изучения безопасности мобильных приложений, дает представление простым и понятным языком о многих вещах, начиная от основ и заканчивая принципами шифрования и его реализации на Android

- Android Security Internals - пожалуй, одна из лучших книг по механизмам безопасности, предоставляемых платформой и о внутреннем устройстве системы Android. Обязательна к прочтению 🤓

- Application_Security_for_the_Android_Platform - полезная книга, в которой сделан упор на обеспечение безопасности самих приложений и правильной реализации различных сособов защиты

- decompiling-android - пожалуй, наиболее полный гайд по декомпиляции и дизасемблированию (если можно его так назвать) приложений по Android. Если вы часто анализируете приложения методом "черного ящика" - эта книга вам точно поможет

- Learning_Android_Forensics - материал, посвященный извлечению данных с устройства, в том числе и удаленной когда-то. Если нужно будет что-то восстановить с умершего телефона, можно попробовать воспользоваться советами из этой книги

- Mobile App Hackers Handbook - так же не самая свежая, но в целом актуальная книга по анализу приложений и инструментам, которые для этого используются. Чем-то напоминает мне MSTG

- XDA's_Android_Hacker's_Toolkit - книга от участников форума XDA про безопасность мобильных устройств, кастомным загрузчикам, специфике различных производителей

Уверен, что каждый найдет для себя что-то полезное хотя бы в одной из этих книг!
Enjoy!

#Android #Books #Education

https://drive.google.com/file/d/17y5k91lIU0QWK3HyToQRWYbJAVVTQn-v
​​В продолжении темы книг - подборка по безопасности и анализу мобильных приложений под iOS! Включает в себя:

- iOS App Reverse Engineering - отличная книга практических советов по анализу iOS приложений при помощи Reverse Engineering. Пожалуй, наиболее подробный материал, который я читал по этому направлению.

- iOS_Forensics_Cookbook - книга, посвященная анализу данных на системе iOS, как и где можно посмотреть данные, что полезного хранят в себе логи, бэкапы, и какие утилиты можно использовать для удобного анализа

- iOS_Hackers_Handbook - не самая свежая, но хорошая книга по анализу. Описанные техники не самые новые, но описание архитектуры и модели безопасности iOS описаны подробно и понятно

- Mac OS X and iOS Internals - наверное, одна из самых подробных и сложных для меня книг, которая максимально подробно описывает, что происходит внутри операционной системы, памяти, ядра и прочих темных переулках iOS

- Mobile App Hackers Handbook - хорошая книга для начала изучения безопасности мобильных приложений, дает представление простым и понятным языком о многих вещах, пытаясь совместить в себе и описание анализа приложений и защиты.

Их, конечно намного меньше, чем по Android, но есть что почитать вечерком :)
Enjoy!

#iOS #Books #Education

https://drive.google.com/file/d/1X9StporiApy_UP2gd1b-2djmwcIRq524
Android Books Part 2.zip
19.3 MB
Спасибо @ChadwickBlackford из нашего чата за еще несколько интересных материалов по Android, забрал себе в "библиотеку", будем изучать :)

Материалы включают в себя:

- Practical Android Application Exploitation - подробная презентация Workshop'а с DEFCON по практическому анализу Android.

- Hacking Android - по беглому просмотру может оказаться очень полезной, описывается использование различных методов анализа при помощи достаточно современных утилит, что выгодно отличает эту книгу от большого количества статей в интернете

Если у кого есть интересные материалы - пишите, потом соберем всё в одну большую подборку 🤓

#Android #Books #Education
Большая подборка книг, курсов и статей по безопасности мобильных приложений

На день знаний не успел выложить, но хоть на 3-е сентября будет 😄

Собрал воедино все книги, которые у меня были и что мне присылали, гайды и курсы по анализу и безопасности мобильных приложений!

Что получилось в итоге:

Android Books
Android Application Pentest Guide (AAPG)
Android Forensics
Android binder
Android Task Hijacking
Android Hacker's Handbook
Android Malware and Analysis
Android Apps Security
Android Security Attacks and Defenses
Android Security Internals
Application Security for the Android Platform
Android Application Secure Design/Secure Coding Guidebook
Decompiling Android
Deep Dive into Android Binder IPC
DEF CON 24 Workshop Dinesh Shetty Practical Android Application
Embedded Android
Kotlin secure coding practices
Learning Android Forensics
Hacking Android
XDAs Android Hackers Toolkit
Xaker-254
Яндекс - как общаются Android приложения
Broken Fingers - On the Usage of the Fingerprint API in Android
What can you do to an apk without its private key except repacking
WhatsApp Forensics: Decryption of Encrypted WhatsApp Databases
Huawei Mate 9 Pro (LON AL00) PWN2OWN
Android Internals - A Confectioner's Cookbook (Volume I)

Android Courses
Android Part - Mobile Application Security and Penetration Testing v2
AndroidHackingCourse
Penetration Testing Apps for Android Devices

iOS Books
Apple Security Sandbox
iOS App Reverse Engineering
IOS FORENSICS COOKBOOK
IOS Hackers Handbook
Mac OS X and iOS Internals (1-е издание)
Mobile App Hackers Handbook
Hacking and Securing IOS Applications
Recreating an iOS 0day Jailbreak Out of Apple’s Security Updates
Revisiting iOS Kernel (In)Security: Attacking the early random() PRNG
Demystifying The Secure Enclave Processor

iOS Courses
iOS Part - Mobile Application Security and Penetration Testing v2

Книги включающие в себя и Android и iOS либо нечто общее про безопасность мобилок
MASTERING MOBILE FORENSICS
Mobile App Hackers Handbook
MOBILE FORENSICS ADVANCED INVESTIGATIVE STRATEGIES
DSEC - Анализ безопасности мобильных банковских приложений
DSEC - Анализ безопасности мобильных банковских приложений 2012
DSEC - SCADA и мобильники - оценка безопасности приложений, превращающих смартфон в пульт управления заводом
Secure mobile development best practices
OWASP Mobile App Security Checklist
OWASP Mobile AppSec Verification Standard RU
OWASP mobile security testing guide
Брюс Шнайдер - прикладная криптография :D

Смешанные курсы
Mobile Application Security and Penetration Testing v1

Все материалы доступны по ссылке. Можно как скачать отдельные материалы, так и все сразу.
По мере нахождения новых интересных материалов - буду обновлять и дополнять "библиотеку" 🤓

#Books #Education #Android #iOS
Ответы на вопросы по безопасности Android

Уже в эту пятницу 18 сентября в 19:00 по MSK будет стрим на Youtube по вопросам безопасности как самой системы Android, так и приложений! Отвечать на вопросы, которые также можно задать и в эфире, будет @OxFi5t, очень скиловый и крутой эксперт!

Я точно пойду послушаю )

Была бы ещё расшифровка записи, чтоб потом собрать некоторую wiki, было б вообще бомба. Может кто знает, как это можно автоматизировать? 😁

https://www.youtube.com/watch?v=zeU2wlcj_Bw

#Android #Security #Education
Workshop по анализу мобильных приложений

От @B3nac подоспел воркшоп по анализу Android приложений с конференции "Hacker's One Community Day".

Ещё не успел посмотреть, но думаю будет интересно послушать об анализе Android от человека, который недавно перешёл в Android Security Team! Тем более предыдущий материал был очень полезным.

Слайды с презентации

#Android #Workshop #Education
Как взламывают Android приложения

Продолжая тему видео уроков и семинаров, отличный workshop по анализу Android приложений от @OxFi5t. Суперский материал, по процессу анализа, frida, drozer и ряду других инструментов.

Видео с конференции можно посмотреть здесь.

Помимо видео, этот замечательный человек выложил и структурировал материалы, на которых основан тренинг. Тут полноценный Android CTF с серверной частью, который ломать не переломать! Наш ответ @B3nac 😁

А самое главное - это отличный контент на русском языке! То, чего немного не хватает в нашем сообществе)

#Android #Webinar #Workshop #Education
Большое обновление курсов по анализу мобильных приложений

Всем привет!

На драйве из предыдущего поста произошло глобальное обновление курсов, лекций и практических материалов по анализу защищенности и пентесту мобильных приложений.
За весь этот замечательныый контент скажем огромное спасибо @EZ3K1EL!

В общем, welcome, теперь это все в едином месте)

Примерный состав курсов и их описание (некоторые еще в процессе загрузки и будут доступны чуть позже)

SANS Cources
- FOR 518 - Mac and iOS Forensic Analysis and Incident Response
- FOR 585 - Advanced Smartphone Forensics (2017)
- SEC 575 - Mobile Device Security and Ethical Hacking (2017)

The Complete Mobile Ethical Hacking Course (11 Gb)
- Introduction
- Lab Setup
- Mobile Backdoors
- Android Studio Fundamentals
- Java Fundamentals
- iOS Development Fundamentals
- Rooting & Jailbreaking
- Reverse Engineering Android
- Reverse Engineering iOS
- Cloud Hacking Firebase Security
- CTF Banking App Hacking
- In-Network Attacks for Mobile Devices
- Closing

The Complete Android Ethical Hacking Practical Course
- Introduction
- Termux Basics
- Metasploit Framework
- Protect your files with Encryption
- Phishing Attack and hw to prevent unknown threats
- How an attacker access your Front camera
- Access front camera and back camera of your victims android device 100 working
- Optional Section
- Reward Section

Pentester Academy - Android Security and Exploitation for Pentesters
- 26-Cydia-Substrate

Dynamic Mobile Application Analysis and Manipulation
- Intro
- Android Dynamic Anaysis with Drozer
- iOS Dynamic Analysis with Needle
- Modifying Mobile Applications
- Mobile Application Runtime Manipulation
- Automated Runtime Manipulation with Objection
- Application Security Verification


Mobile Penetration Testing
- Mobile Penetration Testing
- Network Activity Analysis
- Network Manipulation Attacks
- Network Traffic Manipulation
- SSLTLS attacks
- Intercepting SSLTLS traffic
- Leveraging Mobile Malware
- Where to go from here

The Stolen Device Threat and Mobile Malware
- The Stolen Device Threat
- Jailbreaking iOS
- Rooting Android
- Data Storage on Android
- Data Storage on iOS
- Mitigating Malware

Static Application Analysis
- Static Application Analysis
- Manual Static Analysis
- Automating App Analysis
- Obfuscated Apps
- Third Party App Platforms

Udemy - Masters in Ethical Hacking with Android
Очень много контента

JSInfoSec Android Hacking
Очень много видео-уроков и лекций

Скачать все это (и не только) - можно тут

#books #education #courses
Несколько видео про техники эксплуатации различных уязвимостей в Android

Для тех, кто лучше воспринимает видео и демо, чем статьи есть два неплохих видео про Android от милой девушки.

Первое - Android App Security Basics, где очень неплохо рассказано про основные компоненты системы и приведены ссылки на более подробные лекции про каждый из них.

Второе видео - Hacking Android WebViews про различные техники эксплуатации уязвимостей в WebView. Рассказано и показано достаточно наглядно :)

Спонсором идей и контентом для данных видео послужили материалы Oversecured, так что скажем большое спасибо за офигенный материал :)

#android #education #videos
Эксплуатация уязвимостей Memory Corruption в Android

Как обычно максимально детальная и крутая статья от Oversecured, посвященная уязвимостям, связанным с Memory corruption.

Для меня всегда оставалось немного непонятным, что именно можно извлечь из подобных уязвимостей, если ты добился своего SIGSEGV 😁

Благодаря этой уязвимости и нескольким условиям, можно попробовать как минимум получить критичные данные пользователя. А в статье как раз описан способ, как это можно сделать.

Всем хорошей пятницы и интересного чтения!

#MemoryCorruption #Oversecured #Education
Бесплатные курсы по безопасности Web-приложений

Специально для тех, кому хочется в выходные поизучать что-то интересное. Наткнулся на не колько бесплатных курсов по Web безопасности:

CS 253 Web Security
https://web.stanford.edu/class/cs253/

Ethical Hacking 12 Hours
youtu.be/fNzpcB7ODxQ

OSINT in 5 Hours
https://youtu.be/qwA6MmbeGNo

Beginner Web Application Hacking
outu.be/24fHLWXGS-M

Linux for Ethical Hackers
youtu.be/U1w4T03B30I

Buffer Overflows Made Easy
https://youtu.be/ncBblM920jw


Надеюсь, вам будет интересно! Хоть это и не по мобилкам ;)

#web #education #free #cources
Forwarded from Path Secure (CuriV)
#video #classes #yt #education

Еще пока не препод, но всё впереди :)

А пока делюсь со всем миром записями своих занятий!
За последний год мне удалось провести целый курс по информационной безопасности. От базовых основ GNU/LINUX, криптографии, сетей, веба до полноценного пентеста. Большую часть удалось записать.

На канале пока доступны два видео: лекция и практика по криптографии. Я далек от академичности, но абсолютно уверен, что знания должны распространяться свободно. С этого момента начинается моя карьера видео-блоггера 🤟😎

Делитесь видео с друзьями :)
Буду очень рад обратной связи и корректной критике в комментариях тут или под видосами на yt.
Forwarded from Mobile AppSec World
Большая подборка книг, курсов и статей по безопасности мобильных приложений

На день знаний не успел выложить, но хоть на 3-е сентября будет 😄

Собрал воедино все книги, которые у меня были и что мне присылали, гайды и курсы по анализу и безопасности мобильных приложений!

Что получилось в итоге:

Android Books
Android Application Pentest Guide (AAPG)
Android Forensics
Android binder
Android Task Hijacking
Android Hacker's Handbook
Android Malware and Analysis
Android Apps Security
Android Security Attacks and Defenses
Android Security Internals
Application Security for the Android Platform
Android Application Secure Design/Secure Coding Guidebook
Decompiling Android
Deep Dive into Android Binder IPC
DEF CON 24 Workshop Dinesh Shetty Practical Android Application
Embedded Android
Kotlin secure coding practices
Learning Android Forensics
Hacking Android
XDAs Android Hackers Toolkit
Xaker-254
Яндекс - как общаются Android приложения
Broken Fingers - On the Usage of the Fingerprint API in Android
What can you do to an apk without its private key except repacking
WhatsApp Forensics: Decryption of Encrypted WhatsApp Databases
Huawei Mate 9 Pro (LON AL00) PWN2OWN
Android Internals - A Confectioner's Cookbook (Volume I)

Android Courses
Android Part - Mobile Application Security and Penetration Testing v2
AndroidHackingCourse
Penetration Testing Apps for Android Devices

iOS Books
Apple Security Sandbox
iOS App Reverse Engineering
IOS FORENSICS COOKBOOK
IOS Hackers Handbook
Mac OS X and iOS Internals (1-е издание)
Mobile App Hackers Handbook
Hacking and Securing IOS Applications
Recreating an iOS 0day Jailbreak Out of Apple’s Security Updates
Revisiting iOS Kernel (In)Security: Attacking the early random() PRNG
Demystifying The Secure Enclave Processor

iOS Courses
iOS Part - Mobile Application Security and Penetration Testing v2

Книги включающие в себя и Android и iOS либо нечто общее про безопасность мобилок
MASTERING MOBILE FORENSICS
Mobile App Hackers Handbook
MOBILE FORENSICS ADVANCED INVESTIGATIVE STRATEGIES
DSEC - Анализ безопасности мобильных банковских приложений
DSEC - Анализ безопасности мобильных банковских приложений 2012
DSEC - SCADA и мобильники - оценка безопасности приложений, превращающих смартфон в пульт управления заводом
Secure mobile development best practices
OWASP Mobile App Security Checklist
OWASP Mobile AppSec Verification Standard RU
OWASP mobile security testing guide
Брюс Шнайдер - прикладная криптография :D

Смешанные курсы
Mobile Application Security and Penetration Testing v1

Все материалы доступны по ссылке. Можно как скачать отдельные материалы, так и все сразу.
По мере нахождения новых интересных материалов - буду обновлять и дополнять "библиотеку" 🤓

#Books #Education #Android #iOS