Обложка канала

Mobile AppSec World. Страница 7

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

  • Mobile AppSec World

    Знакомьтесь, динамический анализ приложений или просто DAST. Всем привет! В связи с недавними событиями рынок ИБ-инструментов для анализа приложений достаточно сильно "похудел". По своему опыту скажу, что наиболее сильно это ударило по инструментам по анализу Open Source компонент (практика SCA) и по динамическому анализу (всякие Acunetix, Netsparker и прочие DAST-инструменты). На этой волне, вполне возможно, что будут появляться (я по крайней мере очень на это надеюсь), наши решения, которые закрывают ушедших с нашего рынка игроков и не будут уступать им по качеству. Поэтому я собрал в статью основные правила по выбору инструмента DAST, на что обратить внимание, как встроить в процесс и разные веселые (и не очень) истории из жизни)) Например, когда наш корпоративный WiFi заблочили во время презентации нового сайта ТОП-менеджерам компании :D Удивительно, как меня потом не уволили))) Надеюсь это будет полезно тем, кто занимается AppSec и ищет различные инструменты и материалы по теме) Ну и отдельным пунктом здесь же, хотелось бы анонсировать интересный тул от компании Positive, их динамический сканер) Мы его немного пощупали до бэты и это крайне интресная вещь) Так что, если есть желание посмотреть, чем позитивы нас порадуют в этот раз - подключайтесь на официальный запуск =) #DAST #Habr #Positive #DevSecOps
    Практика динамического анализа. Особенности реализации и нюансы при встраивании в процесс

    Привет, Хабр! И снова в эфире Юрий Шабалин, главный архитектор компании Swordfish Security. Мы уже достаточно давно занимаемся консалтингом в области построения процессов безопасной разработки для...

    Хабр
  • Mobile AppSec World

    Решение задачи с Flutter А вот и решение этого таска, кому интересно. В видео рассказывают про то, как можно было решить задание и в целом, что можно сделать с флаттером, как его анализировать, что смотреть и прочие интересные вещи. Тут нам и reFlutter (❤️) и статья по реверсу от GuardSquare пригодилась и вообще неплохая демо анализа подобных приложений. Советую всем, кто начинает знакомиться с анализом кроссплатформ и любит Stepn Flutter 😁 #flutter #ctf
    Разбор Ыжедневных тасков и розыгрыш мерча

    Участники и авторы Ыжедневных тасков расскажут, как всё решалось. В конце разыграем мерч среди участников. Задания на https://tasks.blzh.fr/tasks

    YouTube
  • Mobile AppSec World

    Наш партнер и соорганизатор AppSec.Zone — Swordfish Security — вовсю готовится к OFFZONE. Вас ждет стильный стенд и CTF для любителей веба. А еще маскот Swordfish — Security Champion — поможет вам в небольшой фан-активности от нас. Подробности вы узнаете на конференции, а пока небольшой спойлер: образ маскота вдохновлен эстетикой киберпанка. Ищите на OFFZONE!
  • Реклама

  • Mobile AppSec World

    Немного спойлеров про стенд Swordfish Security на оффзон! Стильно и круто у нас будет, заходите на огонёк и ко мне на стенд и к фишам, будет много активностей и мерча :)
  • Mobile AppSec World

    👟 #Таск 2022-08-12: Android Reverse (автор: @rozetkinrobot) Нынче достаточно популярны всякие Play-to-Earn проекты. Ыж решил попытать удачу в одном из таких под названием StepOFF. Как оказалось, для регистрации нужен инвайт-код, а те, что он смог найти в Discord проекта, уже использованы. Помогите Ыжу получить заветный доступ к приложению. Сдавать на борде: tasks.blzh.fr/tasks/friday 🏃‍♂️ Не забывайте, что чем быстрее, тем больше очков! — vk.com/wall-114366489_2183
  • Mobile AppSec World

    Всем любителям и неравнодушным к StepN Flutter Всем привет! Все, кто любит CTF и Flutter - в канале Новости SPbCTF появился CTF Андроид приложения, очень похожего на всеми обожаемый StepN 😄 По факту - нужно разреверсить флаттер приложение и получить флаг) Ну что, те, кто хотел проходку на OFFZONE, но не успел, могут попробовать свои силы во Flutter! Подробности в следующем посте. Хорошей пятницы всем)
  • Mobile AppSec World

    #sdlc #apikeys > хей, подскажите, чем нынче модно искать всякие лики секретов на сайте? для бёрпа или лучше браузера? Разработчики часто совершают ошибки управления секретами, особенно в незрелом процессе SDLC. В кодовую базу попадают пароли, хардкодятся API-ключи к CI/CD, заносятся учетные данные пользователей. Для того чтобы отслеживать наличие секретов существует ряд утилит: github.com/eth0izzle/shhgit — отслеживает все коммиты через api GitHub и BitBucket для поиска конфиденциальных данных в режиме реального времени. Однажды нашёл с помощью этой утилиты креды от QA сотрудника Dyson. Как итог удалось скачать сорцы главного сайта и зайти в их Slack. Однако внимательный читатель заметит, что последний коммит был два года назад, верно, автор замутил на основе этого стартап и начал продавать как SaaS. github.com/zricethezav/gitleaks — инструмент SAST для обнаружения и предотвращения жестко закодированных секретов, таких как пароли, ключи API и токены в репозиториях git. Можно использовать на склонированном репозитории локально. github.com/hisxo/gitGraber — функциями схож с shhgit, однако есть некий фильтр по компаниям, вообще работает всё это дело так api.github.com/search/code?q=Компания|Yahoo, а затем уже в результатах ищет секреты. github.com/securing/DumpsterDiver — если предыдущие утилиты искали ключи используя regex, то этот использует метод вычисления энтропии, есть возможность задать порог. Например для Azure Shared ключа порог будет начинаться от 5.1. Из плюсов ищет не только в git, но и в любой папке. github.com/trufflesecurity/trufflehog — по функционалу ближе всего к gitleaks. Доступен в github actions. > Хочу искать секреты и вне работы! Ок, вот тебе Extension TruffleHog под Chromium. Просто гуляя по сайтам, это чудо-расширение будет искать секреты на страницах и выводить alert(apikey) в случаях совпадения. У расширения есть настройки, которые включают автоматические get запросы для файлов .git или .env на сайте. > И как мне самому узнать, какая утилита лучше всего ищет секреты? Вот вам файл со специально забытыми api ключами на github.com/sourcegraph-community/no-secrets/blob/main/secret-examples.md > Нашёл ключ что мне делать? Тестировать и проверять на действительность используя этот замечательный репозиторий github.com/streaak/keyhacks > Когда в github добавят нормальный regex? Уже добавили, вот поиск по всему github используя Regex Facebook key: cs.github.com/?scopeName=All+repos&scope=&q=%2FEAACEdEose0cBA%5B0-9A-Za-z%5D%2B%2F Но вам придётся запросить у github инвайт в их beta =)
  • Mobile AppSec World

    Очень годный контент) Про проверку ключей я тоже немного писал)
  • Mobile AppSec World

    Как обещали продолжаем говорить о безопасной разработке в эфирах! В следующий четверг, 11 августа в 18:00 зовем гостем Юрия Шабалина — ведущего архитектора Swordfish Security, автора канала @mobile_appsec_world и DevSecOps-евангелиста. А компанию составит специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях— Анастасия Худоярова. Обсудим поиск секретов в коде, поиск уязвимостей и небезопасных конструкций. До связи :)
  • Mobile AppSec World

    Поговорим о безопасности? Пригласили поговорить за безопасность кода и различных способах проверки его на всякое разное в части безопасности) Кому интересно, приходите в четверг послушать и пообщаться, постараюсь не говорить совсем уж банальные вещи и сделать эфир поинтереснее)
  • Mobile AppSec World

    И снова шикарный трюк от @@bagipro Продолжая рубрику "советы для bugbounty", теперь про способ обхода ограничений для ContentProvider.openFile(). Вот ссылка на оригинальный пост, но для тех, у кого Твиттер закрыт и нет VPN немного пояснений и описаний. Суть в том, что использую небольшой трюк можно получить приватную информацию через контент провайдер, если вызвать его не напрямую, а прикинуться шлангом, системным сервисом, которому по умолчанию выдаются любые Permissions. Атака возможна, если: 1. Контент-провайдер экспортируется 2. Внутри он проверяет вызывающий UID, имя пакета и/или набор разрешений Таким образом, можно вызвать ContentProvider.openFile() через IActivityManager.openContentUri(). Он проверит права доступа, но затем проксирует вызов из своего контекста, а именно к Binder.getCallingUid() == 1000, и, так как это UID системы, то ей по умолчанию предоставлены все права. Что тут сказать, аплодирую стоя 👍👍 #android #binder #contentProvider #oversecured

    Bypassing ContentProvider.openFile() internal security checks in Android [1/3] I've discovered an interesting trick that you may use to access private information using a content provider

    Twitter
  • Mobile AppSec World

    Анализ iOS-приложений Свеженькая статья от Digital Security, а вернее продолжение первой части про подготовку устройства. Очень годная для начинающих статья, содержащая в себе разбор нескольких наиболее часто встречающихся уязвимостей в iOS приложениях и способе их поиска. Применяются известные и актуальные инструменты для анализа (Grapefruit и Objection), а также чистая frida :) Очень доступно и понятно написано, спасибо ребятам) #ios #dsec #frida #objection
    Анализ iOS-приложений

    Продолжаем цикл статей про аудит iOS-приложений. В этой статье расскажем непосредственно о самом анализе и как пользоваться инструментами из прошлой статьи . Мы хотим показать начинающим...

    Хабр
  • Mobile AppSec World

    Исследователи CloudSEK обнаружили 3207 мобильных приложений, которые раскрывают ключи Twitter API. Нарушение потенциально позволяет злоумышленникам завладеть учетными записями пользователей Twitter для создания в армии ботов и продвижения фейковых новостей, реализации кампаний по распространению вредоносного ПО или других мошеннических действий. В рамках интеграции мобильных приложений с Twitter разработчикам предоставляются специальные ключи аутентификации или токены, которые позволят взаимодействовать с API Twitter. Ключи позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, постить твиты, отправлять DM, читать личные сообщения, управлять подписотой, а также настройками аккаунта. CloudSEK объясняет, что утечка ключей API обычно является результатом ошибок разработчиков, которые встраивают свои ключи аутентификации в API Twitter, но забывают удалить их по окончании разработки, оставляя их, как правило, в resources/res/values/strings.xml, source/resources/res/values-es-rAR/strings.xml, source/resources/res/values-es-rCO/strings.xml или source/sources/com/app-name/BuildConfig.java. Список всех уязвимых приложений не раскрывается, поскольку большинство их разработчиков спустя месяц еще не подтвердили получение уведомлений CloudSEK. Однако, по данным ресерчеров, среди них есть и имеющие от 50 000 до 5 000 000 загрузок. Исключением к настоящему моменту стала лишь компания Ford Motors, которая отреагировала и развернула исправление в приложении Ford Events, из-за которого также происходила утечка ключей API Twitter. Полагаем, что Макс одним из первых ознакомился с результаты исследования, если и вовсе не был соавтором.
    How Leaked Twitter API Keys Can be Used to Build a Bot Army - CloudSEK

    CloudSEK’s Attack Surface Monitoring Platform, uncovered 3207 apps,Build a Twitter Bot Armywhich can be used to Build a Twitter Bot Army, that can be utilized to gain access to or to take over Twitter accounts.

    CloudSEK - Digital Risk Management Enterprise | Artificial Intelligence based Cybersecurity
  • Mobile AppSec World

    Who got the key? А вот очередная интересная заметка про ключики и их хранение. На этот раз в фокус экспертов попали ключи от Twitter API. А сколько ещё таких ключей и сервисов может быть?) думаю, что бескрайнее множество. Мы тоже у себя готовим интересную статистику по использованию различных ключей и их валидности в приложениях, думаю, через некоторое время подобьем аналитику и анонсируем результаты :)
  • Mobile AppSec World

    Mobius возвращается! В ноябре JUG Ru Group организует конференцию для мобильных разработчиков — Mobius 2022 Autumn. В программе — технические доклады и дискуссии о языках, архитектуре, трендах, платформах, фреймворках и инструментах. На конференции соберутся iOS- и Android-разработчики, архитекторы мобильных приложений, специалисты по DevOps, тестировщики, тимлиды и руководители проектов. Участники конференции любят обсуждать нетривиальные задачи и новые подходы в мобильной разработке. И если вам есть что сказать, тогда подавайте заявку на выступление. Программный комитет поможет с подготовкой к выступлению: назначит персонального куратора, проведет ревью материала и организует репетиции. Выбирайте тему выступления на сайте или предлагайте свои идеи — их обязательно рассмотрят. Всем спикерам JUG Ru Group дарит билет на все конференции сезона в онлайне и офлайне. А билеты можно купить здесь.
  • Реклама

  • Mobile AppSec World

    Как-то так получилось, что мы подружились с Мобиусом, поэтому вот ещё один пост про новый сезон :) И надеюсь, что на него тоже разыграем билет :)
  • Mobile AppSec World

    Не так давно составлял подборку статей по анализу и безопасности кросс-платформенных приложений. Ресурсов очень мало, в особенности, если оставить за рамками хайповый Flutter. Анализ приложенийСтатья про исследование React Native приложений ( + обзор JS движка Hermes и утилиты для его анализа) ⁃ Статья про исследование и патчинг Xamarin приложений ⁃ Подборка полезных ресурсов для реверса Xamarin приложений Безопасность приложенийПодборка советов по повышению безопасности React Native приложений ⁃ Подборка советов по повышению безопасности Ionic/Cordova приложений ⁃ Подборка советов по повышению безопасности Flutter приложений Когда готовился к OSCP, случайно наткнулся на багу в Xamarin, связанную с подменой DLL. Тогда еще удивился, что популярный вектор повышения привилегий на Windows машинах может встретиться и на мобилках. #offzone2
  • Mobile AppSec World

    А вот и шикарная подборка статей и материалов от победителя!