⚠️ iPhone и MacBook в опасности из-за WhatsApp*

📱 В WhatsApp обнаружена уязвимость Zero-Click, нацеленная на iOS и macOS, которая могла быть эксплуатирована в неконтролируемых масштабах совместно с недавно обнаруженной уязвимостью Apple.

😡 CVE-2025-55177 (CVSS: 8,0) связана с недостаточной авторизацией сообщений о синхронизации связанных устройств. Компания заявила, что проблема могла позволить постороннему пользователю инициировать обработку контента с произвольного URL-адреса на целевом устройстве.

Версии, которые затронуты:
🔺 WhatsApp for iOS до версии 2.25.21.73
🔺 WhatsApp Business for iOS версии 2.25.21.78
🔺 WhatsApp for Mac версии 2.25.21.78

❗️ Также данная уязвимость связанна с CVE-2025-43300, затрагивающей устройства Apple, которую использовали в своих атаках APT-группировки.

🔺 В связи с этим WhatsApp выпускает экстренное обновление, закрывающее найденную уязвимость.

................................
* принадлежит компании Meta, запрещена в России как экстремистская

У нас уже есть сотни студентов, готовых учиться у практиков, и сильная база по ключевым направлениям информационной безопасности. Сейчас мы расширяем линейку курсов и приглашаем экспертов для разработки новых программ:
🟧 Пентест мобильных приложений
🟧 Тестирование безопасности облачной инфраструктуры
🟧 AppSec-инженер

Что мы ждём:
— практический опыт и реальные кейсы;
— умение превращать свой опыт в структурированный учебный материал;
— желание развивать сообщество ИБ и делиться знаниями.

Что предлагаем:
— готовую платформу и лояльную аудиторию;
— поддержку методистов и редакторов, которые помогут оформить знания в востребованный продукт;
— достойное вознаграждение за ваш вклад.

Если хотите стать автором программы, по которой будут учиться сотни специалистов, пишите ✈️ @maria_ezhi

Вы просили — мы сделали! Актуальный список CVE ⬇️
Часть 1

WhatsApp самый опасный мессенджер в мире!
Корпорация зла Meta*, мало-того, требует для регистрации ваш номер телефона и доступ к контактам, так и таит в себе кучу уязвимостей, которые могут нарушить вашу конфиденциальность и приватность!!!
Сегодня мы рассмотрим все CVE для данного мессенджера до 2020 года включительно, и даже учитывая факт их исправности, мы не рекомендуем пользоваться данным мессенджером.

Начнём с 2025 года:
CVE-2025-55177 (Август)

Неполная авторизация сообщений синхронизации связанных устройств в WhatsApp для iOS до версии 2.25.21.73, WhatsApp Business для iOS версии 2.25.21.78 и WhatsApp для Mac версии 2.25.21.78 могла позволить стороннему пользователю инициировать обработку контента с произвольного URL-адреса на целевом устройстве. Мы считаем, что эта уязвимость в сочетании с уязвимостью на уровне ОС на платформах Apple (CVE-2025-43300) могла быть использована для сложной атаки на конкретных целевых пользователей.

CVE-2025-30401 (Апрель)

Проблема спуфинга в WhatsApp для Windows до версии 2.2450.6 приводила к отображению вложений в соответствии с их MIME-типом, но выбор обработчика открытия файлов осуществлялся на основе расширения имени файла. Вредоносное несоответствие могло привести к тому, что получатель непреднамеренно выполнил произвольный код вместо просмотра вложения при ручном открытии в WhatsApp.

2023 год:
CVE-2023-38538

Состояние гонки в подсистеме событий привело к проблеме использования кучи после освобождения в установленных аудио-/видеовызовах, что с очень малой вероятностью могло привести к завершению работы приложения или непредвиденному потоку управления.

CVE-2023-38537

Состояние гонки в сетевой транспортной подсистеме привело к проблеме использования кучи после освобождения в установленных или неотключенных входящих аудио-/видеовызовах, что с очень малой вероятностью могло привести к завершению работы приложения или неожиданному потоку управления.

2022 год:
CVE-2022-36934 (Сентябрь)

Целочисленное переполнение в WhatsApp для Android до версии 2.22.16.12, Business для Android до версии 2.22.16.12, iOS до версии 2.22.16.12, Business для iOS до версии 2.22.16.12 может привести к удаленному выполнению кода во время установленного видеозвонка.

CVE-2022-27492 (Сентябрь)

Целочисленное переполнение в WhatsApp для Android до версии 2.22.16.2 и WhatsApp для iOS версии 2.22.15.9 могло привести к удаленному выполнению кода при получении созданного видеофайла.

CVE-2021-24043 (Февраль)

Отсутствующая проверка границ в коде анализа флага RTCP до версий WhatsApp для Android v2.21.23.2, WhatsApp Business для Android v2.21.23.2, WhatsApp для iOS v2.21.230.6, WhatsApp Business для iOS 2.21.230.7 и WhatsApp Desktop v2.2145.0 могла привести к чтению кучи за пределами допустимого диапазона, если пользователь отправлял некорректный пакет RTCP во время установленного вызова.

CVE-2021-24042 (Январь)

Логика вызовов WhatsApp для Android до версии 2.21.23, WhatsApp Business для Android до версии 2.21.23, WhatsApp для iOS до версии 2.21.230, WhatsApp Business для iOS до версии 2.21.230, WhatsApp для KaiOS до версии 2.2143, WhatsApp Desktop до версии 2.2146 могла допустить запись за пределами допустимого диапазона, если пользователь совершал звонок 1:1 злоумышленнику.

2021 год:
CVE-2021-24041 (Декабрь)

Отсутствие проверки границ в коде размытия изображений до версий WhatsApp для Android 2.21.22.7 и WhatsApp Business для Android 2.21.22.7 могло привести к записи данных за пределами допустимого диапазона, если пользователь отправлял вредоносное изображение.

CVE-2021-24035 (Июнь)

Отсутствие проверки имени файла при распаковке архивов до версий WhatsApp для Android 2.21.8.13 и WhatsApp Business для Android 2.21.8.13 могло привести к атакам обхода пути, которые перезаписывают файлы WhatsApp.

CVE-2021-24027 (Апрель)

*Корпорация зла Meta признана экстремисской организацией на територии Российской Федерации

Продолжение списка уязвимостей во второй части⬇️

О нас написали. Большая статья — и большая благодарность

Недавно вышел мощный текст от одного из выпускников нашего курса по пентесту веб-приложений (WAPT) — и это больше, чем просто отзыв.

Это — подробный разбор, что именно работает в курсе, как устроено обучение изнутри, и почему даже опытные айтишники рекомендуют нас тем, кто хочет настоящую боевую практику, а не очередные «видео с теорией».

Тот случай, когда за курс не стыдно. Обучение построено так, чтобы ты действительно понял, как работает эксплуатация, а не просто кликал по скриптам. Важно: тебя ведут, но не решают за тебя. Это сразу задаёт уровень.

Автор подробно описал:

🟧 какие темы мы покрываем: от SQLi и XSS до SSRF, SSTI, CMDi, LFI и цепочек до RCE
🟧 как устроена обратная связь и почему настоящий диалог с кураторами — ключ к росту
🟧 почему наш PDF-гайд, песочница и формат менторства — это не «добавка», а ядро курса
🟧 за что особенно хвалят финальный модуль с ручным поиском уязвимостей
🟧 и почему даже “9/10” в оценке курса — это честно, а не маркетинг.

Полный текст — здесь.
(рекомендуем прочитать, если вы всерьёз думаете войти в пентест через практику, а не “просто посмотреть”).

Такие разборы и благодарности — лучшая оценка нашей работы. Мы делаем курс нацеленным на результат. Если вы хотите получить навык и уверенность — добро пожаловать.

Новый поток стартует в октябре. Программа курса, скидка 5% и кураторы — здесь.
✈️ @CodebyManagerBot

"Знаю о тебе почти всё, а мы ведь даже не знакомы"

BlackBird

Blackbird — мощный инструмент OSINT, сочетающий быстрый поиск по имени пользователя и адресу электронной почты на более чем 600 платформах с бесплатным профилированием на базе искусственного интеллекта. Благодаря использованию проектов, поддерживаемых сообществом, таких как WhatsMyName, он обеспечивает низкий уровень ложных срабатываний и высокое качество результатов.
Blackbird интегрирует движок искусственного интеллекта, который анализирует сайты, на которых найдено имя пользователя или адрес электронной почты, и возвращает поведенческий и технический профиль пользователя, помогая вам понять больше с меньшими усилиями.

📕 Характеристики:
➖Интеллектуальные фильтры
➖Оптимизированный экспорт в PDF/CSV
➖Полностью автоматизированный анализ

💻 Установка:

git clone https://github.com/p1ngul1n0/blackbird.git

cd blackbird

pip3 install -r requirements.txt --break-system-packages

📌 Использование:

python3 blackbird.py --username [НИК]

python3 blackbird.py --email [ПОЧТА]

🚀 Включение нейросети в утилиту:
➖Генерируем API ключ:

python blackbird.py --setup-ai

📌Используем с ключём --ai:

python3 blackbird.py --username [НИК] --ai

python3 blackbird.py --email [ПОЧТА] --ai

☁️ CloudSploit: Ваш сканер уязвимостей в облаке

CloudSploit — это сканер безопасности для публичных облаков (AWS, Azure, Google Cloud, Oracle Cloud, GitHub). Его задача — автоматически проходить по всем уголкам вашей облачной среды и сверять их с обширным списком лучших практик безопасности (CIS Benchmarks) и известных уязвимостей.

🔺Принцип работы
Вы даёте CloudSploit ключи доступа (с минимально необходимыми привилегиями только на чтение), он подключается к API вашего облачного провайдера, сканирует все доступные сервисы (виртуальные машины, базы данных, бакеты хранилищ, правила сетевого доступа и т.д.), а затем генерирует детальный отчёт о найденных проблемах.

🔺Почему он нужен?
- защита от «человеческого фактора» (CloudSploit ловит ошибки: публичный S3 bucket, SSH-порт 22, открытый всему миру (0.0.0.0/0), невключенное шифрование дисков, неиспользуемые ключи доступа).
- инструмент помогает обеспечить compliance с такими стандартами, как: PCI DSS, HIPAA, GDPR, автоматически проверяя необходимые требования.
- облако — динамическая среда. То, что было безопасно вчера, сегодня может оказаться уязвимым после очередного обновления конфигурации. CloudSploit можно запускать по расписанию, обеспечивая непрерывный контроль.
- вы не можете защитить то, о чём не знаете. CloudSploit показывает полную картину вашей облачной безопасности, часто обнаруживая забытые и неиспользуемые ресурсы, которые несут в себе риски.

🔺Настраиваем и запускаем
🔺Подготовка учётных данных AWS
Первое и самое важное — создаём в AWS IAM-пользователя с правами только на чтение.

P.S. Никогда не используйте ключи root-пользователя или ключи с правами на запись!

1. Зайдите в AWS IAM Console.
2. Создайте нового пользователя.
3. Назначьте ему готовую политику SecurityAudit (или создайте кастомную политику с минимально необходимыми разрешениями на чтение).
4. Сгенерируйте для него Access Key ID и Secret Access Key (сохраните их в надёжное место).

🔺 Запуск через Docker
У вас должен быть установлен Docker. Далее всё просто:

docker run -it --rm -e AWS_ACCESS_KEY_ID=YOUR_ACCESS_KEY \
                     -e AWS_SECRET_ACCESS_KEY=YOUR_SECRET_KEY \
                     aquasec/cloudsploit:latest

Замените YOUR_ACCESS_KEY и YOUR_SECRET_KEY на полученные ранее значения.

🔺 Анализ результатов
После запуска инструмент начнёт сканирование (это может занять несколько минут).
Результаты будут выведены прямо в консоль и окрашены в три цвета:
- красный (HIGH) - критические проблемы (открытый доступ к базе данных. Требуют немедленного внимания).
- жёлтый (MEDIUM) - серьёзные проблемы (устаревшие SSL-сертификаты. Требуют скорейшего исправления).
- зелёный (LOW/OK) - информационные предупреждения или успешные проверки.
Пример вывода:

[cloudtrailEnabled] [MEDIUM] CloudTrail is not enabled on all regions globally.
[ec2OpenPorts] [HIGH] Security Group "default" allows all traffic on port 22 (ssh) from 0.0.0.0/0.
[s3BucketPublicRead] [HIGH] Bucket "my-public-bucket-123" allows public read access.

🔺Получив отчёт, вы можете перейти в соответствующую консоль AWS (например, EC2 для правил Security Groups или S3 для настроек бакета) и устранить найденные недочёты.

🐁В интернете зафиксирована масштабная кампания по заражению сетевого оборудования с помощью усовершенствованного стелс-модуля.

Исследователи кибербезопасности обнаружили новую вредоносную программу, которая тайно захватывает контроль над сетевыми роутерами и другими устройствами. Целями атаки становятся популярные модели производителей DrayTek, TP-Link, Raisecom и Cisco.

Кампания, проявляющая активность в течение июля 2025 года, использует старый, но эффективный метод: эксплуатацию уязвимостей в веб-интерфейсах устройств. Злоумышленники отправляют специально сформированные HTTP-запросы на незащищенные роутеры, что позволяет им выполнять произвольные команды без необходимости ввода логина или пароля.

➡️Как работает атака?
Атака начинается с простого HTTP-запроса на уязвимый endpoint (точку входа) веб-интерфейса роутера. Например, на роутерах TP-Link Archer AX21 эксплуатируется параметр country, в который подставляется вредоносная команда.

Эти команды заставляют устройство загрузить и запустить специальный скрипт-загрузчик, уникальный для каждой модели роутера. Этот скрипт, в свою очередь, скачивает из интернета основной вредоносный модуль, который предоставляет злоумышленникам полный удаленный контроль над устройством с правами root.

💫«Gayfemboy»: наследник Mirai, но опаснее

Новый malware, получивший от исследователей название «Gayfemboy», является эволюционным продолжением печально известного ботнета Mirai. Однако, он обладает ключевыми улучшениями в области скрытности и модульности.

Для избежания обнаружения вредоносные файлы маскируются под безобидные и названы в соответствии с архитектурами процессоров: aalel для ARM (AArch) и xale для x86-64. Кроме того, код упакован с помощью модифицированной версии утилиты UPX, что затрудняет его автоматический анализ антивирусными системами.

⤵️Глобальный масштаб
Жертвы зафиксированы в Бразилии, Мексике, США, Германии, Франции, Швейцарии, Израиле и Вьетнаме, а среди пострадавших секторов — производство и медиаиндустрия.

Для доставки payload (полезной нагрузки) злоумышленники используют два протокола: HTTP и более простой TFTP, что гарантирует успех даже в сетях с ограниченным исходящим трафиком. Весь вредоносный трафик исходит из двух ключевых узлов: хост для загрузки (220.158.234.135) и источник атакующих запросов (87.121.84.34).

"Универсальный ключ от любой системы."

KitHack

Kithack — это фреймворк, предназначенный для автоматизации процесса загрузки и установки различных инструментов для тестирования на проникновение, со специальной опцией, позволяющей генерировать кроссплатформенные бэкдоры с помощью Metasploit Framework.

📕 Характеристика:
➖ Большой выбор утилит для фишинга
➖ Большой выбор утилит для генерации APK-backdoor'ов
➖ Может брутфорсить пароли
➖ Позволяет аттаковать Wi-Fi
➖ Имеет удобный для новичков интерфейс

💻 Установка:

git clone https://github.com/AdrMXR/KitHack.git

cd KitHack

Заходим в файл install.sh и редактируем следующие строки:

pip3 install requests --break-system-packages
pip3 install py-getch --break-system-packages
sudo apt-get install python3-tk
pip3 install pathlib --break-system-packages
pip3 install zenipy --break-system-packages
pip3 install pgrep --break-system-packages
sudo apt-get install libatk-adaptor libgail-common
sudo apt-get purge fcitx-module-dbus

(это строки с 286-293)
Далее запускаем скрипт:

sudo bash install.sh

sudo python3 KitHack.py

Затем можно запустить как обычную утилиту

KitHack

Затем обновляемся

sudo bash update.sh

📌 Использование:

KitHack

или

sudo python3 KitHack.py

Метод взаимодействия схож с Metasploit, выбираем из списка нужный нам каталог и затем выбираем программу, на выбор их очень много.

Frida — Инструмент для динамической инструментализации приложений

Frida — это гибкий инструмент командной строки, позволяющий встраивать собственные скрипты в работающие приложения для анализа их поведения в реальном времени. Он используется исследователями безопасности, реверс-инженерами и разработчиками для изучения и модификации приложений без изменения исходного кода.

👑 Основные возможности Frida

➡️ Широкая поддержка платформ
🔴Android, iOS, Windows, macOS, Linux, QNX и другие.
🔴Поддержка архитектур x86, x64, ARM, ARM64, MIPS.

➡️ Динамическое внедрение скриптов
🔴Написание хуков на JavaScript, Python, C и других языках.
🔴Изменение функций, мониторинг API и перехват данных «на лету».

➡️ Набор CLI-инструментов
🔴frida-trace для трассировки функций.
🔴frida-ps для просмотра процессов.
🔴frida-ls-devices для управления подключениями.

➡️ Встроенный движок Gum
🔴 Обеспечивает интерцепцию функций, отслеживание инструкций (Stalker), анализ памяти.


🔴 Установка и использование

🕷️ Установите Frida:

pip install frida-tools

🕷️ Запустите сервер на устройстве (например, Android):

adb push frida-server /data/local/tmp/
adb shell chmod 755 /data/local/tmp/frida-server
adb shell "/data/local/tmp/frida-server &"

🕷️ Подключитесь и начните трассировку:

frida-trace -U -i "open*" com.example.app

👀 Почему Frida?
• Позволяет изучать приложения без их пересборки.
• Поддерживает скриптинг и автоматизацию.
• Работает на множестве платформ и архитектур.
• Идеален для анализа, отладки и тестирования безопасности.

📢 На прошлой неделе в СМИ появились сообщения о том, что Google якобы массово уведомляет всех 2,5 миллиарда пользователей Gmail о необходимости срочно сменить пароли из-за серьезной утечки данных. Как выяснилось, эти заявления являются ложными и основаны на неверной интерпретации реальных событий.

➡️Источник путаницы - два разных инцидента
Путаница возникла из-за двух отдельных событий, которые были ошибочно связаны между собой:
▪️Реальный инцидент с Salesforce в июне 2025 г.: группа хакеров UNC6040 (ShinyHunters) провела атаку на корпоративную систему Salesforce, которую использует Google. Инцидент был локализован и похищенные данные (названия компаний и контактная информация B2B-клиентов) не затронули потребительские аккаунты Gmail, пароли или финансовую информацию.
▪️Не связанный взлом Salesloft: в то же время в СМИ упоминался взлом другой платформы - Salesloft, который также якобы затронул данные Google. Этот инцидент не имеет прямого отношения к безопасности Gmail.

На основе этих событий некоторые СМИ сделали неверный вывод о том, что Gmail подвергся массовой утечке, и Google начал принудительно сбрасывать пароли всем пользователям, что не соответствует действительности.

➡️Официальное опровержение Google
На этой неделе представители Google были вынуждены опубликовать официальное заявление в блоге компании, чтобы развеять мифы.

«Хотим заверить наших пользователей, что защита Gmail надежна и эффективна. Недавно в сети появился ряд недостоверных заявлений, в которых ошибочно утверждалось, что мы выпустили массовое предупреждение для всех пользователей Gmail о серьезной проблеме с безопасностью Gmail. Это совершенно не соответствует действительности», — заявили представители Google.

Компания подчеркнула, что ее системы безопасности по-прежнему блокируют более 99,9% попыток фишинга и вредоносных программ, не позволяя им достичь пользователей.

➡️Суть реального предупреждения Google
Широкое предупреждение о безопасности, которое Google действительно рассылал, было проактивным и рекомендательным, а не экстренным и обязательным к исполнению. Оно было связано с инцидентом в Salesforce и риском последующих целевых фишинговых атак.
▪️Включите двухфакторную аутентификацию (2FA) - это критически важный уровень защиты, который не позволит злоумышленникам получить доступ к вашему аккаунту, даже если они узнают ваш пароль.
▪️Будьте бдительны к фишингу - опасайтесь подозрительных писем, сообщений или звонков с запросом личной информации, логинов или кодов 2FA. Злоумышленники могут использовать украденную в инциденте с Salesforce информацию (например, название вашей компании) для персонализации атак.
▪️Используйте менеджер паролей - создавайте надежные и уникальные пароли для каждого сервиса.

Открытие осеннего сезона и новые задания на платформе HackerLab!

Сезонный рейтинг:
С сегодняшнего дня вы можете побороться за лидирующие позиции рейтинга в новом сезоне на нашей платформе.

🎁 Призы и список призовых мест будут объявлены позже - следите за обновлениями!

📆 Сезон завершается 30 ноября
————————————
🚩 Новые задания на платформе HackerLab!

🎢 Категория Разное — Осудительное поведение

👩‍💻 Категория Pentest Machines — GreenEdge
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Веб - Секретник
🟠OSINT - Шаги по следу

Приятного хакинга!

Минцифры опубликовало список сайтов и сервисов, которые БУДУТ работать во время блокировок

📌Минцифры сообщило, что операторы связи в пилотном режиме обеспечивают доступность в периоды ограничений работы мобильного интернета следующих ➖сервисов и сайтов:
➖сервисы Госуслуг;
➖сервисы «ВКонтакте», «Oдноклассники», Mail.ru и национальный мессенджер Max;
➖сервисы Яндекса (какие именно не уточняется);
➖маркетплейсы Ozon и Wildberries;
➖Avito;
➖Дзен;
➖Rutube;
➖официальный сайт платёжной системы Мир;
➖сайты Правительства и Администрации ➖Президента России;
➖федеральная платформа дистанционного электронного голосования (ДЭГ);
➖операторы связи Билайн, МегаФон, МТС, Ростелеком, T2 (личные кабинеты операторов связи «большой чётверки» — МТС, «МегаФона», «Т2 РТК Холдинга» (бренд Т2) и «ВымпелКома» (бренд «Билайн)).

По доп. данным, также будут доступны:
сервисы Сбербанка, Альфа-банка, Т-банка, Газпромбанка и Национальной системы платежных карт (НСПК);
➖«Кинопоиск»;
➖онлайн-карты 2GIS;
➖сайт магазина «Магнит».

📕Список будет дополняться. Представители «МегаФона» и «ВымпелКома» сообщили СМИ, что механизм, обеспечивающий доступ клиентам к сайтам из «белого» списка уже работает на их сетях.
Как это будет работать?

Минцифры и операторы связи разработали специальное техническое решение, позволяющее не блокировать такие ресурсы.
Операторы уже обеспечивают доступ к этим сервисам в пилотном режиме. Для доступа к интернет‑ресурсам не требуется дополнительной идентификации и прохождения капчи.

Зачем это сделано?

Мера позволит уменьшить для граждан неудобства, вызванные необходимыми для обеспечения безопасности отключениями мобильного интернета.

Mobile Security Framework (MobSF): Универсальный инструмент для мобильной безопасности

Mobile Security Framework (MobSF) — это платформа для тестирования безопасности мобильных приложений, включающая в себя статический и динамический анализ, анализ вредоносного ПО и оценку безопасности. Она помогает специалистам по тестированию на проникновение, разработчикам и исследователям безопасности быстро и эффективно находить уязвимости в мобильных приложениях.

Основные возможности MobSF
1️⃣ Статический анализ (SAST)
• Поддерживает анализ APK, IPA, AAB, APPX и исходного кода. Позволяет выявлять жёстко прописанные секреты, слабую криптографию, небезопасное хранение и избыточные разрешения.
2️⃣ Динамический анализ (DAST)
• Выполняется в эмуляторах Android (и частично iOS) с возможностью мониторинга сетевых запросов и поведения приложения в runtime. Однако полноценный DAST на реальных устройствах iOS не поддерживается.
3️⃣ Анализ бинарников и вредоносных программ
• Декомпиляция приложений и анализ без доступа к исходному коду. Выявляет встроенные вредоносные компоненты, трекеры, подозрительные поведения.
4️⃣ API-инспектор (Web API Viewer)
• Отображает конечные точки API, заголовки запросов/ответов, параметры и механизмы аутентификации для ручной проверки.
5️⃣ Автоматизация и интеграция в DevSecOps
• CLI и REST API позволяютстроить автоматическое сканирование в CI/CD, делать безопасность встроенной частью процесса разработки.

⬇️ Установка и запуск

Рекомендуемый способ — через Docker:

docker pull opensecurity/mobile-security-framework-mobsf:latest
docker run -it --rm -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest

➡️ После запуска MobSF доступен по адресу https://127.0.0.1:8000.
➡️ Стандартные учетные данные: mobsf/mobsf

Краткий гайд по работе с MobSF

➡️ Запустите MobSF (Docker или скрипты)
➡️ Откройте веб-интерфейс (обычно localhost:8000)
➡️ Загрузите APK, IPA, бинарник или исходный код
➡️ Анализ — отчёты по уязвимостям, API, поведению
➡️ Проанализируйте отчёт: уязвимости, рекомендации, сетевые запросы

⚠️ Различные блоги отмечают, что анализ отчёта может быть обширным, но MobSF отлично подходит в качестве стартовой отправной точки для тестирования безопасности.

Slither: Статический анализатор для умных контрактов, повышающий безопасность и качество кода

Slither — это современный фреймворк для статического анализа, написанный на Python 3. Он предназначен для глубокого тестирования умных контрактов, написанных на Solidity. В отличие от динамического анализа (например, фаззинга), который выполняется во время работы программы, статический анализ изучает исходный код без его выполнения, выявляя уязвимости, баги и отклонения от лучших практик на ранних стадиях разработки.

➡️Slither предлагает комплексный подход к анализу кода, выходящий далеко за рамки простой проверки синтаксиса.
🟡инструмент содержит предустановленные детекторы, способные находить более 100 типов распространенных уязвимостей, включая: переполнения/исчерпания целочисленного типа (Integer overflows/underflows), перезапись владельца контракта (Ownable contract misuse), доступ к неинициализированным указателям на структуры хранилища.
🟡Slither способен строить графы наследования, графы вызовов функций и диаграммы зависимостей. Это неоценимо для понимания архитектуры сложных проектов, особенно при работе с незнакомым кодом. Он помогает разработчикам увидеть «общую картину» и выявить сложные взаимосвязи, которые могут скрывать логические ошибки.
🟡благодаря командной строке и возможности запуска в автоматическом режиме, Slither легко интегрируется в конвейеры непрерывной интеграции и доставки (CI/CD). Это позволяет проводить автоматические проверки безопасности при каждом коммите, предотвращая попадание потенциально опасного кода в основную ветку.
🟡одно из главных преимуществ Slither — его гибкость. Разработчики могут легко писать собственные детекторы и принтеры, используя богатый API фреймворка. Это позволяет адаптировать инструмент под специфические требования проекта и находить узкоспециализированные шаблоны ошибок.

📎Техническая механика Slither впечатляет:
- Slither сначала компилирует целевой контракт Solidity, используя solc.
- внутренний компилятор Slither преобразует скомпилированный код в собственное промежуточное представление под названием SlithIR.
- анализатор работает с этим промежуточным представлением, применяя к нему статические методы анализа потока данных (data-flow analysis) и статический анализ одиночного присваивания (Static Single Assignment, SSA). Это позволяет точно отслеживать, как данные и управление перемещаются по контракту.
- на основе этого анализа Slither запускает все активные детекторы и принтеры, генерируя понятный и структурированный отчет для пользователя.

🔖Несмотря на мощную внутреннюю архитектуру, начать использовать Slither очень просто. Он устанавливается как пакет Python через pip:

pip install slither-analyzer

Проверяем

slither -h

Запуск базового анализа для контракта в текущей директории осуществляется одной командой:

slither .

👌 Результатом будет детальный отчет с классификацией найденных проблем по уровню серьезности (High, Medium, Low, Informational) и ссылками на соответствующие материалы для их исправления.