История которая чуть не вызвала мне инфаркт.
Сижу я значит, захотелось потыкаться в приложении монобанка, в мобилке. Ну там апи посмотреть, активити разные подергать. Беру и запускаю свой любимый эмулятор, регаюсь, и мне внезапно звонят с монобанка нахуй, и спрашивают - кто-то зашел в ваш аккаунт банковский с эмулятора ебать. И причем, назвали версию эмулятора, арм какой стоит, и т.д. я как только зашел в приложение, сразу звонок раздается нахуй, это конечно круто когда такая оперативность, но в 3 часа НОЧИ звонить вот это я обосрался, думал уже упаковывать будут. Вот так вот.
Сижу я значит, захотелось потыкаться в приложении монобанка, в мобилке. Ну там апи посмотреть, активити разные подергать. Беру и запускаю свой любимый эмулятор, регаюсь, и мне внезапно звонят с монобанка нахуй, и спрашивают - кто-то зашел в ваш аккаунт банковский с эмулятора ебать. И причем, назвали версию эмулятора, арм какой стоит, и т.д. я как только зашел в приложение, сразу звонок раздается нахуй, это конечно круто когда такая оперативность, но в 3 часа НОЧИ звонить вот это я обосрался, думал уже упаковывать будут. Вот так вот.
🔥5
https://x.com/mexc_official/status/1924449969680924982?s=52. Подкаст завтра с MEXC у меня ребята, буду рассказывать о том какой web3 хуевый и небезопасный
👍6
Проводил пентест Android приложения одной криптабиржы крупной.
Я пишу статический SAST сканер для мобилок под Android.
После скана приложения, сканер подсветил мне что приложение использует md5 хеш у одного из классов.
Как и все принципе посмотрели бы, ну и такие - окей просто добавлю finding об этом.
Однако мой сканер он статический, и он не проверяет условие
Ну это тот самый момент когда нужно проверять условие.
Я обнаружил следующее.
/* compiled from: PasswordUtils.java */
/* loaded from: classes39.dex */
Jadx пишет PasswordUtils.java это был.
Cмотрим на код, понимаем что криптобиржа использует md5 для поролей
Проанализировав цепочку, цепочка на втором скрине. Мы получаем следующее.
Md5 пароля используется в спот трейдинге, margin trading, и при выводе средств
Так это еще не все
Если вы не поняли _cryptoexchange_ это hardcoded соль.
2026 год, используем md5 для поролей даже если мы в топ-10 криптобирж входим.
Ахуенно!
Я пишу статический SAST сканер для мобилок под Android.
После скана приложения, сканер подсветил мне что приложение использует md5 хеш у одного из классов.
Как и все принципе посмотрели бы, ну и такие - окей просто добавлю finding об этом.
Однако мой сканер он статический, и он не проверяет условие
Ну это тот самый момент когда нужно проверять условие.
Я обнаружил следующее.
/* compiled from: PasswordUtils.java */
/* loaded from: classes39.dex */
Jadx пишет PasswordUtils.java это был.
Cмотрим на код, понимаем что криптобиржа использует md5 для поролей
Проанализировав цепочку, цепочка на втором скрине. Мы получаем следующее.
Md5 пароля используется в спот трейдинге, margin trading, и при выводе средств
Так это еще не все
Если вы не поняли _cryptoexchange_ это hardcoded соль.
2026 год, используем md5 для поролей даже если мы в топ-10 криптобирж входим.
Ахуенно!
🔥1🤣1
Коротко о bugcrowd триажерах. И о сегодняшнем случае. Человек поставил мне duplicate, на репорт хрен пойми чего 24 марта, программа официально была создана 31 марта. + триажер понизил какого то хрена issue до P4 хотя там P2. Че за пиздеж галимый? Интересная история начинается! (репорт был отправлен мной ровно 31 марта когда программа стартовала)
🤣2🤔1