Forwarded from Mobile AppSec World (Yury Shabalin)
Жизненный цикл Activity в Android
Ну а пока iOS-приложения не скачиваются, можно поизучать детальнее Android ;)
И у ребят из k8s как раз есть отличная статья про Activity Lifecycle. Какие есть состояния, какая логика перехода между ними, какие атаки есть на Activity и т.д.
Очень полезный материал, который поможет лучше узнать, как работают приложения внутри, а без этого понимания очень сложно их ломать и что-то придумывать :)
Хороших всем выходных!
#Android #activity
Ну а пока iOS-приложения не скачиваются, можно поизучать детальнее Android ;)
И у ребят из k8s как раз есть отличная статья про Activity Lifecycle. Какие есть состояния, какая логика перехода между ними, какие атаки есть на Activity и т.д.
Очень полезный материал, который поможет лучше узнать, как работают приложения внутри, а без этого понимания очень сложно их ломать и что-то придумывать :)
Хороших всем выходных!
#Android #activity
Session Token Security: Local Storage vs. Cookies
https://www.linkedin.com/pulse/session-token-security-local-storage-vs-cookies-florian-walter-hhnyf
https://www.linkedin.com/pulse/session-token-security-local-storage-vs-cookies-florian-walter-hhnyf
👍3
CVE yoki CWE dasturlari tugatilishi yaxshigina impact ko'rsatadi, AppSecga ayniqsa.
Yangi chiqqan vulnerability lar track qilinib unga raqami berilmaydi, masalan CVE-2025-12345 qilib. O'zi bundan muammo yo'qqa o'xshaydi Shaptolini shu versiyasida ATO deb yozib ketaveramiz vulnerability nomini, lekin baribir confusion bo'ladi.
Impact to'g'ridan-tog'ri bizga bilinmaydi, bundan ko'proq U.S. foydalanadi o'zini assetlarida.
Yana CVE database bilan ishlaydigan Vulnerability Scanner lar ancha qiynaladi.
Lekin CWE tugatilishi katta "chaos" bo'lsa kerak) OWASP faqat 10 ta vulnerability type ko'rsatadi, vulnerability ni mana shu deb ko'rsatgani CWE yaxshi.
Hullas bu framework bilan standartlar edi dunyo shunga qarab ish qiladigan, endi aniq narsa bo'lmasa tartibsizlik bo'ladi.
P.S. CVE assignment yoniq qolarkan)
@AppSec_guy
Yangi chiqqan vulnerability lar track qilinib unga raqami berilmaydi, masalan CVE-2025-12345 qilib. O'zi bundan muammo yo'qqa o'xshaydi Shaptolini shu versiyasida ATO deb yozib ketaveramiz vulnerability nomini, lekin baribir confusion bo'ladi.
Impact to'g'ridan-tog'ri bizga bilinmaydi, bundan ko'proq U.S. foydalanadi o'zini assetlarida.
Yana CVE database bilan ishlaydigan Vulnerability Scanner lar ancha qiynaladi.
Lekin CWE tugatilishi katta "chaos" bo'lsa kerak) OWASP faqat 10 ta vulnerability type ko'rsatadi, vulnerability ni mana shu deb ko'rsatgani CWE yaxshi.
Hullas bu framework bilan standartlar edi dunyo shunga qarab ish qiladigan, endi aniq narsa bo'lmasa tartibsizlik bo'ladi.
P.S. CVE assignment yoniq qolarkan)
@AppSec_guy
👍3🔥1
Steamda Stack based Buffer overflow
DEP +
ASRL +
Canary - no way lol)
https://hackerone.com/reports/470520
DEP +
ASRL +
Canary - no way lol)
https://hackerone.com/reports/470520
HackerOne
Valve disclosed on HackerOne: RCE on Steam Client via buffer...
## Introduction
In Steam and other valve games (CSGO, Half-Life, TF2) there is a functionality to find game servers called the server browser. In order to retrieve the information about these...
In Steam and other valve games (CSGO, Half-Life, TF2) there is a functionality to find game servers called the server browser. In order to retrieve the information about these...
🔥2
🔥6
Forwarded from Turan Security
Task ishlab bo'lindi, yechimga qiziqqanlar uchun writeup publish qildik.
https://github.com/turan-sec/DVAW/blob/main/writeup.md
https://github.com/turan-sec/DVAW/blob/main/writeup.md
Forwarded from The Hacker News
Iran-linked hackers are spying on Kurdish & Iraqi officials using custom malware.
The group BladedFeline breached:
• KRG diplomats
• Iraq gov networks
• Uzbekistan telecom
Backdoors used: Whisper, Spearal, Shahmaran, Slippery Snakelet.
🕵️♂️ Full story → https://thehackernews.com/2025/06/iran-linked-bladedfeline-hits-iraqi-and.html
The group BladedFeline breached:
• KRG diplomats
• Iraq gov networks
• Uzbekistan telecom
Backdoors used: Whisper, Spearal, Shahmaran, Slippery Snakelet.
🕵️♂️ Full story → https://thehackernews.com/2025/06/iran-linked-bladedfeline-hits-iraqi-and.html
🔥2👀2😁1
Forwarded from Turan Security
This media is not supported in your browser
VIEW IN TELEGRAM
Do'stlar, ko'pchiligingiz uzoq kutgan yangilikni e'lon qilamiz. Turan Security kiberxavfsizlik tashkiloti haqiqiy amaliyotga asoslangan maxsus kiberxavfsizlik kurslariga qabulni ochdi!
Sizda endi qaysi o'quv markazida o'qisam ekan degan savollar bo'lmaydi.
Hujumkor va himoyaviy kiberxavfsizlikni sohaning haqiqiy egalaridan o'rganing. 7 yildan ortiq tajriba va xalqaro sertifikatga ega tajribali mutaxassislar mentorlik qiladi. Bundan tashqari Turan Security mutaxassislari tomonidan amaliyot darslari tashkil qilinadi.
Qabul qilinadigan o'quvchilarimiz:
Umumiy 2 oylik Foundation bosqichida boshlang'ich IT asoslar, tarmoq va linux administratorligi bo'yicha maxsus bilimlarga ega bo'lishadi.
💻 Ushbu bosqichni muvaffaqiyatli tugatgan o'quvchilarga 6 oy davomida ikki yo'nalish, hujumkor (red team) va himoyaviy (blue team) kiberxavfsizlik bo'yicha amaliyotga asoslangan maxsus bilimlar beriladi.
🔴 Red Team: Hujumkor kiberxavfsizlik yo'nalishida tashkilot veb-saytlari, ichki axborot tizimlari va tarmoq tizimlaridagi zaifliklarni aniqlash. Aniqlangan zaifliklardan foydalanib ma'lumotlarga ega bo'lish va qanday qilib zaifliklarni oldini olish bo'yicha bilimlar beriladi.
🔵 Blue Team: Himoyaviy kiberxavfsizlik yo'nalishida esa tashkilot ichki va tashqi tizimlarida aniqlangan zaifliklarni oldini olish, kiberxavfsizlik hodisalarini aniqlash va ularni tahlil qilish, xavflarni aniqlovchi tizimlarni o'rnatish va ularni monitoring qilish bo'yicha amaliy bilimlar beriladi.
O'qishni xohlovchilar batafsil ma'lumot uchun adminga murojaat qiling!
🟦 🟦 🟦
@TuranSecurity | www.turansec.uz | [email protected]
Sizda endi qaysi o'quv markazida o'qisam ekan degan savollar bo'lmaydi.
Hujumkor va himoyaviy kiberxavfsizlikni sohaning haqiqiy egalaridan o'rganing. 7 yildan ortiq tajriba va xalqaro sertifikatga ega tajribali mutaxassislar mentorlik qiladi. Bundan tashqari Turan Security mutaxassislari tomonidan amaliyot darslari tashkil qilinadi.
Qabul qilinadigan o'quvchilarimiz:
Umumiy 2 oylik Foundation bosqichida boshlang'ich IT asoslar, tarmoq va linux administratorligi bo'yicha maxsus bilimlarga ega bo'lishadi.
O'qishni xohlovchilar batafsil ma'lumot uchun adminga murojaat qiling!
@TuranSecurity | www.turansec.uz | [email protected]
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👍1🔥1🫡1
Forwarded from Turan Security
CVE lardan keyin NASAni buzdik🔥
Jamoadoshimiz Jamshid Yergashvoyev NASA da bir necha zaifliklar aniqladi. Zaifliklar orqali NASA Operatsion tizimlarida mavjud fayllarni masofadan yuklab olish, HTML inyeksiya va boshqa hujumlar amalga oshirish mumkin. Zaifliklar Bugcrowd platformasi orqali NASA ga topshirilgan va bartaraf etilgan.
TuranSec uchun bu birinchi natija emas, jamoa NASA da 3 marta *HoF (Hall of Fame) ga kirishgan ulgurgan, birinchi marta 2023-yilda.
HoF - tashkilot xavfsizligini ta'minlashga hissa qo'shgan Xakerlar ro'yxati.
@TuranSecurity | www.turansec.uz | [email protected]
Jamoadoshimiz Jamshid Yergashvoyev NASA da bir necha zaifliklar aniqladi. Zaifliklar orqali NASA Operatsion tizimlarida mavjud fayllarni masofadan yuklab olish, HTML inyeksiya va boshqa hujumlar amalga oshirish mumkin. Zaifliklar Bugcrowd platformasi orqali NASA ga topshirilgan va bartaraf etilgan.
TuranSec uchun bu birinchi natija emas, jamoa NASA da 3 marta *HoF (Hall of Fame) ga kirishgan ulgurgan, birinchi marta 2023-yilda.
HoF - tashkilot xavfsizligini ta'minlashga hissa qo'shgan Xakerlar ro'yxati.
@TuranSecurity | www.turansec.uz | [email protected]
🔥4🆒3👍1