🏦 Payment Village на StandOff 11: разбор задания на взлом мобильного приложения вымышленного банка
Егор Филатов, младший аналитик отдела анализа защищенности Angara Security, рассказывает про реализацию двух недопустимых событий: вывод денег с украденных банковских карт и мошенничество с карточным процессингом.
👉 Читать
#mobile #ctf #writeup
Егор Филатов, младший аналитик отдела анализа защищенности Angara Security, рассказывает про реализацию двух недопустимых событий: вывод денег с украденных банковских карт и мошенничество с карточным процессингом.
👉 Читать
#mobile #ctf #writeup
🔥3
⚡️Релизнулся OWASP Mobile Top Ten 2023
☑️M1: Improper Credential Usage
☑️M2: Inadequate Supply Chain Security
☑️M3: Insecure Authentication/Authorization
☑️M4: Insufficient Input/Output Validation
☑️M5: Insecure Communication
☑️M6: Inadequate Privacy Controls
☑️M7: Insufficient Binary Protections
☑️M8: Security Misconfiguration
☑️M9: Insecure Data Storage
☑️M10: Insufficient Cryptography
Интересуетесь безопасностью мобильных приложений? Тогда читайте объяснение всех пунктов на русском.
#mobile
☑️M1: Improper Credential Usage
☑️M2: Inadequate Supply Chain Security
☑️M3: Insecure Authentication/Authorization
☑️M4: Insufficient Input/Output Validation
☑️M5: Insecure Communication
☑️M6: Inadequate Privacy Controls
☑️M7: Insufficient Binary Protections
☑️M8: Security Misconfiguration
☑️M9: Insecure Data Storage
☑️M10: Insufficient Cryptography
Интересуетесь безопасностью мобильных приложений? Тогда читайте объяснение всех пунктов на русском.
#mobile
⚡5👍5
🤔 Как на самом деле магазины приложений проверяют мобильные приложения на уязвимости перед публикацией?
📲 Увлекаетесь безопасностью мобилок? Если еще нет, то в эту сторону однозначно стоит посмотреть, ведь в багбаунти программах многих вендоров есть и мобильные приложения.
👾 Но сегодня не про это, а про дырявое приложение от Swordfish Security, которое было представлено на CTF OFFZONE 2023.
👉 Узнайте подробнее, как багхантеры его ломали и как магазины приложений реагировали на попытку его публикации.
#mobile #pentest
📲 Увлекаетесь безопасностью мобилок? Если еще нет, то в эту сторону однозначно стоит посмотреть, ведь в багбаунти программах многих вендоров есть и мобильные приложения.
👾 Но сегодня не про это, а про дырявое приложение от Swordfish Security, которое было представлено на CTF OFFZONE 2023.
👉 Узнайте подробнее, как багхантеры его ломали и как магазины приложений реагировали на попытку его публикации.
#mobile #pentest
Хабр
Разрушители легенд: Как на самом деле магазины проверяют приложения на уязвимости
Intro Всем привет! Снова с вами Юрий Шабалин. Уже много лет я занимаюсь безопасностью мобильных приложений и в своих исследованиях доношу важность этого направления для бизнеса. В одной из прошлых...
👍5❤1
A_step_by_step_Android_penetration_testing_guide_for_beginners.pdf
6.2 MB
🧰 Пентест Android-приложений: пошаговый гайд для начинающего этичного хакера
Базовый пентест мобильного приложения под Android включает статический и динамический анализ:
☑️ Исходного кода
☑️ Бинарных файлов
☑️ Сетевого трафика
👉 Читайте на Medium или в PDF
#pentest #mobile #bugbounty
Базовый пентест мобильного приложения под Android включает статический и динамический анализ:
☑️ Исходного кода
☑️ Бинарных файлов
☑️ Сетевого трафика
👉 Читайте на Medium или в PDF
#pentest #mobile #bugbounty
🔥3👍2⚡1
Автор описал минимальный набор навыков и подкрепил источниками, где эти знания и навыки можно получить:
☑️ Программирование: Java, Kotlin
☑️ Архитектурные топики: MVP/MVVM, Dependecy Injection, шаблоны проектирования
☑️ Android: основные компоненты приложений, библиотеки JetPack, Dalvik/ART, Android Debug Bridge
☑️ Инструменты: декомпилятор (jadx, jeb, procyon, etc…), дизассемблер (ghidra, idapro), Frida (+frida based утилиты вроде
objection), Magisk, Android Studio, apktool#mobile
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
android_encryption.pdf
8.8 MB
Большая работа, посвященная типам шифрования, используемым в процессе работы ОС Android, и способам атаки на них.
👉 Читать в блоге
#mobile
👉 Читать в блоге
#mobile
‼️Каждый Gradle-проект содержит список репозиториев, откуда необходимо выгружать зависимости. К наиболее популярным проектам относятся MavenCentral, JCentral и JitPack с Google (для Android).
Репозитории разделяются на приватные и публичные репозитории, где каждый может размещать что угодно.
‼️Список зависимостей имеет формат
groupId:artifactId:version, например, com.google.code.gson:gson:2.10.1. Сборщик идет по репозиториям сверху вниз и скачивает указанную версию из первого репозитория, в котором она будет найдена.Юра Шабалин из «Стингрей Технолоджиз» разбирает примеры атаки и показывает, как от них защититься.
#mobile #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🤩2
🐞👩💻 Ледибаг в деле. Как найти уязвимости в Android и попасть в топ белых хакеров Google
В 2010 году, когда направление багбаунти еще не получило широкой известности, Google запустила свою Vulnerability Reward Program. С тех пор в ней поучаствовало более 3000 исследователей. Каждый год Google обновляет списки лучших багхантеров, которые нашли наибольшее количество уязвимостей в их продуктах. И команде Positive Technologies удалось пообщаться с одной из них.
Алёна Склярова — исследователь безопасности, занимает 13-е место в топе багхантеров Google за последний год, а также 13-е место в рейтинге исследователей Android за все время. Алёна нашла немало багов в ОС Android, за что неоднократно получала благодарности от Google. Большинство найденных багов — критические и были отмечены в бюллетенях безопасности Android.
Под катом она поделится своим опытом, рассказывает о трудностях в начале пути и успехах, а также дает ценные советы начинающим багхантерам.
👉 Читать
#bugbounty #security #research #mobile
В 2010 году, когда направление багбаунти еще не получило широкой известности, Google запустила свою Vulnerability Reward Program. С тех пор в ней поучаствовало более 3000 исследователей. Каждый год Google обновляет списки лучших багхантеров, которые нашли наибольшее количество уязвимостей в их продуктах. И команде Positive Technologies удалось пообщаться с одной из них.
Алёна Склярова — исследователь безопасности, занимает 13-е место в топе багхантеров Google за последний год, а также 13-е место в рейтинге исследователей Android за все время. Алёна нашла немало багов в ОС Android, за что неоднократно получала благодарности от Google. Большинство найденных багов — критические и были отмечены в бюллетенях безопасности Android.
Под катом она поделится своим опытом, рассказывает о трудностях в начале пути и успехах, а также дает ценные советы начинающим багхантерам.
👉 Читать
#bugbounty #security #research #mobile
👍6🎉2😢1
🥷🔎 Что делать в пятницу вечером? Можно отдохнуть, а можно разреверсить новую фичу iOS Inactivity Reboot
В iOS 18 появилась новая функция безопасности: перезагрузка бездействия (inactivity reboot). От чего она защищает и как работает? Узнайте подробнее обо всех подробностях, включая расширение ядра и Secure Enclave Processor👇
🔗 Читать
#mobile #reverse
В iOS 18 появилась новая функция безопасности: перезагрузка бездействия (inactivity reboot). От чего она защищает и как работает? Узнайте подробнее обо всех подробностях, включая расширение ядра и Secure Enclave Processor👇
🔗 Читать
#mobile #reverse
👍1
Bettercap — швейцарский нож для пентестера, который включает в себя анализ безопасности Wi-Fi, сканирование Bluetooth, спуфинг и перехват сессий.
🤔 Почему стоит использовать Bettercap на Android вместо ноутбука при пентесте?
С Bettercap на Android вы получаете мощный инструмент прямо в кармане, позволяющий работать незаметно.
$ apt update
$ termux-setup-storage
$ pkg install root-repo
$ pkg install golang git libpcap libusb
$ pkg install pkg-config
$ pkg install tsu
$ go install github.com/bettercap/bettercap@latest && cd $HOME/go/bin
$ sudo ./bettercap
#pentest #mobile #security
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1👾1
Дмитрий Лукьяненко является белорусским багхантером и экс-Android-разработчиком, известным своими достижениями в области кибербезопасности. На данный момент он единственный исследователь в СНГ, обладающий HackerOne MVH (Most Valuable Hacker) Belt!
В 2019 году ему удалось занять второе место в рейтинге «белых хакеров» Facebook*. На протяжении многих лет он демонстрировал выдающиеся знания экосистемы Android и находил серьезные баги в продуктах многих крупных компаний.
В подкасте Дмитрий рассказывает о своем пути, о том, на что он обращает внимание больше всего, и как сохраняет навык и интерес после стольких лет работы в этой сфере.
⏳ Таймкоды:
00:00:43 – Приветствие и начало подкаста
00:01:31 – Первые шаги в карьере
00:04:21 – Работа в Яндексе
00:05:49 – Первая уязвимость и награда
00:07:44 – Вдохновение и первые атаки
00:10:19 – Переход из android разработки в безопасность
00:11:54 – Жизнь на bug bounty full time
00:13:26 – Гранты от Google
00:14:23 – Фокус на уязвимости
00:17:38 – Взаимодействие с мобильными приложениями
00:21:29 – Подход к поиску багов
00:25:07 – Пример уязвимости
00:29:53 – Ошибки в безопасности
00:31:41 – Переход к веб-уязвимостям
00:33:26 – Вдохновляющие примеры
00:34:21 – Уязвимости без технических навыков
00:35:11 – Уязвимость в Facebook
00:36:11 – Баг на мероприятии в Сингапуре
00:38:05 – Стратегия раскрытия уязвимостей
00:39:50 – Уязвимость в Windows Messenger
00:43:27 – Статус “Most Valuable Hacker”
00:46:09 – Санкции со стороны платформ
00:48:03 – Бонусы и мотивация
00:49:51 – Инвестиции в оборудование
00:53:46 – Важность образования
00:54:45 – Советы новичкам
00:55:31 – Безопасность Android
00:55:53 – Курсы по программированию устройств
00:56:50 – Автоматизация и инструменты
⏯️ Смотреть или слушать полностью
#podcasts #bugbounty #infosec #mobile
* Организация Meta запрещена на территории РФ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥2