Сегодня завершается Skolkovo Cyber Security Challenge и наша система Stingray для анализа безопасности мобильных приложений снова в финале, второй год подряд!

Очень волнуюсь, конечно, но уверен, что выступим достойно 😁

К сожалению, мероприятие закрытое, но все записи выступлений будут доступны 21 мая.

#Skolkovo #Challenge #Stingray #StartupVillage

https://stingray.appsec.global/

Запись с вебинара

Всем привет! Выложили запись с вебинара, кто не успел поприсутствовать лично, можно посмотреть в комфортное время.

Вроде получился достаточно неплохой обзор практик, которые можно применять при анализе мобильных приложений и немного рассказал про то, как динамику проводим мы. Может быть немного по капитански, но я правда старался) Первое подобное мероприятие, которое относится непосредственно к тому, что я делаю, так что было немного волнительно 😀

Формат достаточно неплохо зашел, так что подумаем над тем, чтобы его продолжить в виде нескольких видео по нашему продукту и как мы реализовали поиск интересных дефектов.

Stayu tuned, как говорится 😃

#Webinar #record #stingray

Подкаст про динамический анализ приложений

И еще одна отличная новость)
Поучаствовали с нашим ведущим разработчиком (@jd7drw) в подкасте про системы динамического анализа мобилок. Спасибо большое за приглашение каналу Android Guards и лично @OxFi5t, было очень здорово! 😎

В выпуске постарались рассказать много интересных вещей, но как это обычно бывает - много чего осталось за кадром и кучу вещей хочется после выпуска сказать немного по другому. Ну и вечный синдром самозванца - кажется, что это всё очевидно и никому не интересно 😁

Надеюсь, что вам понравится и обязательно оставляйте комментарии и вопросы) Очень интересно, что вы думаете обо всех этих очередных "сканилках" 😉

#Podcast #Android #Stingray

Импорт HTTP Archive (HAR) в Burp Suite

Для начала, всех с наступившим годом и практически прошедшим первым месяцем работы. Надеюсь, что у вас он оказался таким же плодотворным, как и у меня 🥳

Ну, а в качестве первого поста в этом году, я хотел бы поделиться некоторыми нашими наработками. А именно - импортом файлов формата HAR в Burp Suite для дальнейшего анализа и сканирования API.

Во время автоматического анализа мобильных приложения мы перехватываем трафик и снимаем SSL Pinning, ну а потом переводит всё сетевое общение бэка и приложения в удобный читаемый формат. В планах самим проводить различные проверки безопасности API, но пока это находится в разработке, мы используем интеграции с другими системами динамического анализа (DAST). Интеграция - выгрузить сетевые запросы в таком формате, чтобы их смогли импортировать к себе различные Web-сканеры.

Таким форматом и стал HTTP архив. Это достаточно стандартный формат, самый простой способ его получить это открыть "Инструменты разработчика" в браузере и на вкладке Networking выбрать пункт "Save as HAR". В результате мы получим некоторый json-файлик, который будет содержать все request/response с заголовками и т.д. Различные Enterprise инструменты вроде Acunetix, Netsparker и остальные умеют парсить такой формат и на его основе проводить сканирование.

Я был достаточно сильно удивлен, что в BurpSuite нельзя его импортировать (а может просто плохо искал). Есть вот такой плагин, но для него нужно сначала конвертировать HAR в csv, а только потом уже импортить его (при этом часть данных у меня терялась).

В итоге, мы написали свой плагин для того, чтобы в SiteMap берпа можно было импортировать чистый HAR и дальше запускать скан или делать то, что обычно делают =) У плагина есть две версии, для GUI и для headless режима, что может быть удобным для дальнейшей автоматизации.

Теперь станет чуть удобнее отправлять собранный трафик в Burp и "краулить" API, достаточно просто в браузере мышкой потыкать и сохранить все запросы 🤓

А тем, кто в компаниях занимается AppSec есть небольшой бонус. Если в вашей компании используются UI-тесты (например каким-нибудь Selenium), то можно в них добавить небольшое изменение и они будут сохранять HAR-файлы с трафиком, который происходил во время прогона тестов. Дальше их можно автоматически забирать, отдавать в Burp и проводить активное сканирование. В зависимости от покрытия автотестами, можно каждую сборку после автотестов прогонять на безопасность и иметь всегда актуальный снимок трафика вашего приложения. Ну а можно просто с тестировщиками договориться, что бы они при прогоне ручных тестов сохраняли из браузера этот HAR-файлик.

Надеюсь, что кому-то эта информация и эти плагины помогут в построении процессов безопасной разработки или немного упростят жизнь, ну а мы планируем их поддерживать и дальше развивать.

Всем хорошей пятницы 😁

#stingray #traffic #burp #har

Знай свои секреты. Поиск и автоматическая проверка секретов сторонних сервисов

Что-то в последнее время много постов на канале про моё творчество, но, наверное, это и неплохо :)

И вот вам занятное на почитать между праздниками, статья о хранении секретов в мобильных приложениях.

А именно о том, что происходит с аутентификационными данными от сторонних сервисов, которые мы так любим использовать, о том, как их искать и автоматически проверять на валидность, какие инструменты есть для решения подобных задач и как это всё автоматизировать.

Надеюсь, что для кого-то эта статья окажется полезной и он сможет применить некоторые подходы в своей работе!

Спасибо и хороших вторых выходных 😄

#habr #secrets #stingray

Демо нашего инструмента для динамического анализа мобильных приложений - Stingray

Всем привет!
Как многие из вас знают, я занимаюсь разработкой инструмента по динамическому анализу мобильных приложений под названием Стингрей.

Недавно мы выпустили большое обновление и я подумал, что мне хотелось бы рассказать о том, что наш продукт вообще умеет, как работает и какие проблемы призван решить. В связи с этим вопрос, было бы вам интересно послушать про то, что мы делаем?

Предполагается свободный формат, без официальных введений, маркетинга, рекламы и прочего, просто я расскажу про то, чем мы занимаемся каждый день и отвечу на вопросы, если они будут.

Ниже прикреплю голосование и если будет интерес, то в ближайшее время проведем небольшое демо/рассказ о наших приключениях и пообщаемся немного за безопасность приложений =)

Всех с понедельником и хорошей, продуктивной работы!

#demo #stingray #poll

Нелегкий путь к динамическому анализу мобильных приложений

В предверии демо, решил немного поделиться тем, что произошло с нашим продуктом за последние несколько месяцев.

А именно, с какими проблемами мы столкнулись, как их решали и чего добились. Вышло, на мой взгляд, достаточно интересно. Технической информации там не много, но я просто не мог не поделиться своими переживаниями и эмоциями от того, что нам удалось сделать.

Надеюсь, что вам тоже будет интересно почитать)

Спасибо!

#habr #stingray #release

Демо нашего инструмента - Stingray

Всем привет!
Как-то я немного затянул с проведением демо, но на всё есть причины :)

Но наконец-то руки дошли и в среду (20-го июля) в 14:00 мы наконец-то соберемся и я расскажу, чем мы занимаемся и что умеем. Думаю, будет более чем интересно!

Присоединяйтесь, ближе к делу я скину ссылку-приглашение и линк для подключения!

Пообщаемся :)

#stingray #demo

Поехали!

Ну что же, начинаем потихонечку, ждем еще минут 5 и стартуем)
Подключиться можно вот тут.

#demo #stingray

А что после OFFZONE?

И после OFFZONE есть жизнь))
Хочу пригласить всех желающих на небольшой вебинар «Безопасность мобильных приложений в текущих реалиях».

Пройдет он во вторник, 30 августа в 14:00 (мск).

Я расскажу, что вообще сейчас происходит с безопасностью мобилок и каких угроз сегодня стоит опасаться больше всего. Обсудим с вами, как защитить данные пользователей и технологии. Поговорим о подходах и инструментах, с помощью которых можно автоматизировать тестирование приложений. Ну а в конце встречи участники получат специальное предложение (это пока секрет))

Постараюсь дать как можно больше практических деталей, ответить на все ваши вопросы и сделать вебинар максимально полезным для вас)

Не забудьте заранее зарегистрироваться по этой ссылке.

Надеюсь, увидеть много знакомых лиц :)

#webinar #stingray

Запись демо.

Всем привет! Наконец дошли руки и появилась возможность нарезать демо, которое проводили летом.

https://youtu.be/b3kOvsQoFfA

Надеюсь, что скоро будет ещё одно, по нашим новым фичам) так что, можно обновить воспоминания, а что же такое наш Стингрей :)

#stingray #demo

А мы начинаем

Всем кто хотел послушать, посвящается :)

Начинаем выступление, присоединяйтесь, пишите вопросы, ставьте лайки и вот это всё :)

Постараюсь сделать интересно :)

Ссылки для подключения в посте выше, но для ленивых вот на YouTube:

https://youtu.be/tYyAYYVpOnA

#sk #webinar #stingray

Мы ищем людей в команду!

Друзья, всем привет! Наша компания-разработчик продукта "Стингрей" продолжает расширяться и хочет покорить мир, добавить еще больше функционала по анализу мобилок и добавить поиск все новых и крутых уязвимостей!

Ну а конкретно сейчас мы очень активно ищем специалиста по анализу iOS-приложений для усиления нашей команды.

Если вы любите копаться в мобилках, искать уязвимости, хочется решать сложные и интересные задачи, которые до этого никогда никто не делал, то вам абсолютно точно нужно к нам))

Если ты пишешь на Frida, знаешь, как устроены iOS-приложения и MSTG, MASVS, PassionFruit, Objection это не пустые слова, то приходи к нам пообщаться, уверен, мы сможем найти общий язык.

Если хочется деталей, то есть вакансия:
https://hh.ru/vacancy/71723031

Если что, можно смело писать мне в личку (@Mr_R1p) или откликаться на вакансию или любым другим образом дать о себе знать :)

Если не интересно, но есть, кому переслать, не поленитесь, пожалуйста))

#hh #vacancy #stingray

Исследование защищенности мобильных приложений

Всем привет!

Долго не было ничего слышно и не зря)) Мы с командой делали довольно интересную вещь - проводили исследование защищенности мобильных приложений, выпущенных Российскими компаниями.

Суть исследования достаточно простая - мы взяли 800 Android-приложений, прогнали их через наш инструмент "Стингрей", разобрали ложные срабатывания, выбрали 20 категорий уязвимостей, наиболее интересных и часто встречающихся. Посчитали циферки, оформили, и вот результат:

По полученным цифрам более 83% приложений содержат уязвимости высокого или критичного уровня.

С подробными данными и самим отчетом можно ознакомиться на нашем сайте:
https://stingray-mobile.ru/oczenka-zashhishhennosti

Если говорить серьезно, то на безопасность мобильных приложений любят забивать или смотрят на них в самую последнюю очередь. Почему это до сих пор так?
Наверное, потому что бизнес или разработка не понимают актуальных угроз для мобильных приложений и какие именно риски несет в себе уязвимое мобильное приложение. Я рассказывал об этом недавно на митапе в Сколково, и скоро попробую еще раз это рассказать.

Потому что сейчас мобильные приложения это не просто "витрина данных", это полноценные системы, со своей архитектурой, базами данных, удаленными хранилищами, огромным функционалом и разнообразными техническими решениями. И к ним следует относится, как к полноценному звену всей системы, а иногда и более пристально, так как эксплуатируются они во "враждебной" среде, на устройстве пользователя, на котором может быть все, что угодно.

Так что посмотрите внимательно на отчет, мы постарались дать максимум ценной информации, включая описание выявленных проблем и способов их устранения и недопущения в дальнейшем. Очень надеюсь, что в следующем году безопасных и защищенных мобильных приложений станет больше!

Дальше больше, мы планируем сделать этот отчет ежегодным и отслеживать тренды в защищенности мобильных приложений и радовать всех интересным контентом!

С наступающим и приятного чтения!

#stingray #report #news #android

Встреча по результатам нашего отчета о защищенности мобильных приложений

Всем привет!

Надеюсь, что вам понравилось наше исследование, которое мы некоторое время назад опубликовали)

Завтра (27 декабря) в 16:00 по Москве я планирую собрать небольшой вебинар, где расскажу, как мы до этого дошли, как проводили исследование, какие результаты получили и что в них самого интересного.

Ну а после обсудим, какие вещи хотелось бы видеть в следующем году, ну и просто может немного поболтаем) Так что всех приглашаю, кому интересно! Ссылку завтра перед самим мероприятием направлю (когда разберусь, как ее сделать).

Вот примерная программа мини-вебинара:

- Приветственное слово;
- Ключевые тенденции безопасности мобильных приложений в 2022 году;
- Методика и инструменты анализа;
- Оценка уровней критичности и обнаруженные уязвимости;
- Результаты исследования;
- Ответы на вопросы и обсуждение интересных тем.

Всем хорошей недели и до завтра!

#stingray #webinar #newyear

Запись вебинара по анализу защищенности Российских приложений

Всем привет!

Как обещал, запись прошедшего во вторник мини-вебинара, посвященного нашему исследованию.

Все, кто хотел присоединиться, но не получилось, можно посмотреть в записи. Ну а на вопросы я в любой момент отвечу :)

С наступающими праздниками!

#webinar #stingray #report

Обновление нашего продукта Стигнрей!

Ох, мы наконец-то это сделали и выпустили долгожданный и многострадальный релиз 🥳

На этот раз он получился не менее насыщенный, чем прошлые наши обновления и привнес в себя очень много интересных и полезных вещей.

Если кратко, то мы снова почти полностью переписали одну из частей нашего продукта и наш UI теперь работает безумно быстро, он стал более продуманным и красивым (а еще там появилась темная тема)! 😎

Еще мы научились запускать Appium-скрипты для автоматизации тестирования и это дает намного большую гибкость по работе с приложением во время автоматизированного анализа и возможность переиспользовать наработки QA в тестировании. И наконец, у нас появились полноценные автотесты для iOS-приложений, с записью видео с экрана устройства и полным повторением действий пользователя во время сканирования!

Что касается нашего любимого IAST-анализа, то в Android мы существенно его доработали, улучшили и сделали задел на будущие активные проверки. Результатом этого стало выявление еще большего количества интересных и сложных уязвимостей. А также, мы портировали этот механизм на iOS и планируем в дальнейшем его максимально развивать.

На самом деле, изменений больших и маленьких огромное количество, всего не перечислишь, и за это я хотел сказать огромное спасибо всей команде, которая вкладывается в каждую новую фичу, в каждую строчку кода всей душой! Спасибо парни, вы лучшие! 🥇

Ну и если кому интересно чуть более детально посмотреть, что мы сделали, то небольшое видео с обновлениями доступно на YouTube, а более-менее полный список обновлений на сайте.

Ура!

#stingray #ios #android #release

Разбираемся с уязвимостью в Jetpack Navigation

Всем привет!

Относительно недавно многоуважаемый @OxFi5t подсветил исследование коллег из Positive Technologies про новый вектор атаки на Android через проблемы в библиотеке Jetpack . Спасибо огромное им за исследование, оно реально крутое!

Мы не смогли остаться в стороне, тоже немного покапались в исследовании, нашли пару интересных вещей, не освещенных в оригинальном материале и сегодня я представляю вашему вниманию результат наших трудов, статью "Разбираемся с новой уязвимостью в Android-библиотеке Jetpack Navigation".

Кроме технических деталей самой проблемы мы еще дополнительно проанализировали 1000 приложений из различных маркетов и собрали интересную статистику по подверженности данной проблеме. Если кратко, то 21% из исследованых нами приложений содержит уязвимую навигацию. Эксплуатабельны ли они это отдельный вопрос, который, я надеюсь, мы разберем в дальнейшем обязательно))

Если интересно исследование с цифрами, какие категории оказались наиболее подвержены данной проблеме - можно посмотреть у нас на сайте.

А пока - приятного чтения и спасибо еще раз коллегам за шикарную уязвимость!

#jetpack #stingray #navigation #issue #research