Pentest-book: wiki для пентестеров

Наткнулся на занятный репозиторий — pentest-book, это такая постоянно обновляемая wiki-шпаргалка для пентестеров. Recon, enumeration, web, cloud, mobile, Windows/Kerberos, работа с Burp Suite — всё собрано в одном месте с конкретными командами, скриптами и чеклистами.

Что мне понравилось — есть отдельные разделы по мобилкам, и Android, и iOS, с практическими приёмами и ссылками на тулы для анализа. Не какой-то теоретический обзор, а именно рабочие заметки: что запустить, куда посмотреть, как проэксплуатировать. По сути, это записная книжка практика, которую автор ведёт и дополняет.

Конечно, подобных сборников в интернете хватает, но этот выделяется тем, что покрывает практически все направления пентеста и при этом не превращается в свалку мёртвых ссылок (по крайней мере, пока автор его поддерживает). Удобно держать под рукой как справочник, когда нужно быстро вспомнить синтаксис или найти нужный инструмент для конкретной задачи :)

Как по мне, штука полезная и для тех, кто занимается пентестом мобилок, и для тех, кто хочет покопаться в смежных областях (ну или освежить знания). Рекомендую добавить в закладки :)

#Pentest #Mobile #Tools #Security

Перехват OkHttp трафика на Android через Frida

Кто хоть раз пытался перехватить трафик Android-приложения, которое шифрует тело запроса или подписывает его кастомным хедером, знает эту боль -- ты видишь запрос в прокси, но там каша из зашифрованных байт, и толку от этого ноль :)

Ребята из Doyensec написали отличную статью о том, как с помощью Frida хукать OkHttp на уровне Interceptor-цепочки. Суть проблемы в том, что запрос в OkHttp проходит через серию интерсепторов -- один добавляет Authorization, другой считает подпись, третий шифрует тело. Если хукнуть только финальный вызов, увидишь уже зашифрованный блоб. Если хукнуть до интерсепторов -- не увидишь реальные хедеры. Решение -- цепляться к RealCall и RealInterceptorChain.proceed, чтобы перехватить запрос на каждом этапе мутации. По сути, получаешь и исходный JSON, и то, что реально уходит в сеть.

В статье подробно расписаны скрипты для Frida с вспомогательными функциями для дампа содержимого Request/Response на каждом шаге. Всё с примерами кода, можно брать и адаптировать под свой кейс. Как по мне, статья будет особенно полезна тем, кто анализирует приложения с кастомной защитой API -- когда SSL Pinning уже обошёл, а трафик всё равно нечитаемый из-за шифрования на уровне приложения. Рекомендую покопаться 🤓

#Android #Frida #OkHttp #Research #Tools

Prompt injection -> supply chain: как AI-бот скомпрометировал 4000 разработчиков

Занятная и пугающая история про то, как prompt injection через заголовок GitHub issue превратился в полноценную supply chain атаку. Разбор читается как сценарий триллера, только всё по-настоящему.

Суть: в репозитории использовался claude-code-action от Anthropic для автоматической обработки issue. Конфигурация была с allowed_non_write_users: "*" (то есть кто угодно может триггернуть бота), а заголовок issue подставлялся без санитизации через ${{ github.event.issue.title }}. Атакующий просто создал issue с вредоносным промптом в заголовке - и бот послушно выполнил команду 😅

Дальше цепочка красивая: бот установил пакет из typosquatted-репозитория (glthub-actions/cline вместо github-actions), в пакете preinstall-скрипт развернул Cacheract для отравления кэша GitHub Actions (~10 GB). При восстановлении кэша утекли NPM_RELEASE_TOKEN, VSCE_PAT и OVSX_PAT. С этими токенами атакующие опубликовали троянизированный cline@2.3.0 с postinstall, который за 8 часов разъехался на ~4000 машин разработчиков.

Как по мне, это прекрасная иллюстрация того, что AI-агенты в CI/CD -- это не просто "удобная автоматизация", а новая поверхность атаки, которую мы толком ещё не научились защищать. Prompt injection тут выступает как начальный вектор, а дальше классика -- отравление кэша, кража секретов, supply chain compromise.

Статья хорошо написана, с деталями каждого этапа и рекомендациями. Очень рекомендую почитать, особенно если у вас AI-боты интегрированы в pipeline :)

#Security #SupplyChain #AI #GitHub #PromptInjection

С возвращением!

Я очень давно ничего не писал в канал и немного подзабыл, как это делается) Было очень много крайне интересных и поглотивших меня задач на работе, но теперь я стал находить время на разбор скопившихся материалов и начинаю вас радовать (надеюсь) свеженькими (и не очень) статьями и новостями по мобилкам!

Ну и да, так как я немного расширил свою специализацию еще и на AI-технологии разные, то оживет и второй канал - @ai_she4ka (https://xn--r1a.website/ai_she4ka), где контент будет похожий (новости, статьи, тулы, подборки и так далее), только уже из мира безопасности ИИ-систем. То есть тоже самое, но уже про ИИ, надеюсь вам тоже понравится.

Так что с возвращением, очень рад вас всех видеть и читать!

И немного запоздало, но все таки - хорошего всем года)))

AWAKE: справочник по Android-атакам и эксплуатации

Нашел оооочень классный ресур - AWAKE: Android Wiki of Attacks, Knowledge & Exploits - по сути, one-stop shop для тех, кто занимается анализом малвари, реверсингом и поиском уязвимостей на Android.

Внутри -- описания техник атак, эксплойтов, методики анализа APK и самой платформы. Ориентировано на аналитиков, реверсеров, пентестеров и threat intelligence ресерчеров. То есть не абстрактная теория, а вполне практический справочник с конкретикой. Что мне понравилось -- подход "offense-first". Всё собрано с точки зрения атакующего, а не защитника. Для нас, тех кто занимается анализом защищённости мобилок, это прям то, что нужно: понимать, как атакуют, чтобы понимать, от чего защищать. Ну и как справочник для собственных ресерчей -- самое оно!

Как по мне, отличное дополнение к уже знакомым OWASP MSTG и MASVS. Рекомендую добавить в закладки, все очень структурированно и достаточно "свежо"!

#Android #Malware #Research #Security #Exploitation

Runtime hooking и обход SSL Pinning на iOS

Ребята, есть вопрос, как обойти SSL Pinning в iOS? Ребята из RedFox Security выпустили подробный гайд по runtime manipulation и hooking в контексте iOS-пентеста, и он получился весьма добротным.

Внутри - разбор того, как работает hooking в Objective-C/Swift рантайме, как цеплять методы через Frida и objection, обход SSL pinning на jailbroken устройствах (SSLKillSwitch и компания). Всё расписано с примерами и пояснениями, что именно происходит под капотом при перехвате TLS-проверок. Плюс есть раздел про hardening и рекомендации из MASVS/MSTG, то есть статья полезна не только для атакующей стороны, но и для тех, кто боится включать пиннинг, потому что сертификат рано или поздно протухнет.

Как по мне, хороший материал для тех, кто начинает копаться в iOS-пентесте или хочет систематизировать информацию. Опытные ребята вряд ли найдут что-то принципиально новое, но как справочник -- вполне.

#iOS #Pentest #SSLPinning #Frida #Hooking

iOSCTF: 30 задач для практики iOS-пентеста

С тренировочными площадками для iOS всегда было туго - DVIA да пара заброшенных репозиториев, и на этом всё. Так что появление iOSCTF - прям приятная новость.

Это open-source приложение с 30 задачами по iOS security, разбитыми на 4 категории: от чтения секретов в NSUserDefaults и дампа Keychain до эксплуатации JS-бриджей через deep links, хукинга ObjC-рантайма и memory forensics. Есть даже JWT cracking и задачи на SSL pinning bypass. В общем, покрывает приличный кусок того, с чем сталкиваешься при реальном анализе мобилок.

Есть готовый IPA для sideload (через AltStore, TrollStore и компанию), не обязательно собирать из исходников, хотя Xcode-проект тоже есть. Для части задач нужен companion server, что добавляет реализма. Ну и jailbroken устройство для полного набора задач рекомендуется (было бы странно, если бы нет).

Забавно, что автор в описании благодарит Claude за помощь в создании -- видимо, AI-ассистенты теперь не только код пишут, но и уязвимые приложения помогают делать, и как правило не только специально для CTF 😄

Как по мне, шикарная штука для тех, кто хочет покопаться в iOS security на практике, а не только читать про это в книжках. Особенно радует, что появляется что-то новое)

#iOS #CTF #Pentest #Security #Tools

SSL pinning bypass setup for iOS (No Jailbreak) using OpenVPN + iptables traffic redirection to proxy (Burp Suite / mitmproxy)
https://github.com/SahilH4ck4you/iOS-SSL-pinning-bypass-without-jalibreak

Кстати говоря, несмотря на то, что сейчас многие вопросы можно задать нейронке и получить ответ, все равно остается главная задача - а что спросить :)

И на самом леле очень хорошо, что есть каналы доя молодых специалистов, где рассказывают основы и постепенно уходят дальше, говорят о том, как начать, база от которой можно отталкиваться.

Поэтому у меня тоже иногда выходят посты про простые вещи, они тоже нужны многим.

И следующий пост будет как раз про такой канал

🔐 Кибербезопасность без воды — практика пентеста и подходы из red team.

Здесь ты не просто читаешь — ты начинаешь думать как пентестер.

📚 Что есть на канале:

— простое объяснение сложных тем (XSS, IDOR, CSRF, AD)
— реальные кейсы из bug bounty
— чек-листы и практические разборы
— викторины и задачи для прокачки мышления
— вакансии
— чат пентестеров

🧠 Формируем не просто знания, а подход к пентесту

Подойдёт если ты:
— только начинаешь
— уже в теме и хочешь системности
— интересуешься кибербезопасностью

👉 Подписывайся и прокачивайся вместе с нами

Привет всем!

Завтра выступаю на конфе, подключайтесь :)

От анализа Android-приложения до полного контроля байка.

Шикарный ресерч от ребят из Bureau Veritas Cybersecurity - взяли электромотоцикл Zero Motorcycles и покопались во всём, до чего дотянулись: Android-приложение, OTA-обновления, прошивка контроллеров, CAN-шина. Результаты, мягко говоря, впечатляющие…

Я часто на выступлениях говорю, что мобильное приложение это идеальная входная точка для атаки на компанию и там скрыто ооочень много интересного. И в этом случае, ребята начали с Android-приложения. В BuildConfig открытым текстом лежали URL и bearer-токен сервера прошивок. Firmware-сервер принимал запросы с любым "правдоподобным" VIN (валидация по regex, не по базе реальных байков), и скачать прошивку можно было простым curl-запросом. В zip-архиве с прошивкой шли не только бинарники, но и .map-файлы линкера. То есть, все имена функций в Ghidra восстанавливаются автоматически, без ручного реверса. Идеально :))

Дальше - больше. Прошивка MBB (Main Bike Board) верифицирует загруженный образ ровно одной проверкой: по SHA-512 хеша. Подпись? Асимметричная криптография? Нет, просто salted SHA-512 со статической солью, одинаковой для всех байков. Семь строк на Python - и можно подписать любую прошивку.

Frida-скрипт обходит проверку VIN в приложении и позволяет подключиться к любому байку в зоне BLE-досягаемости, даже если он уже был спарен с другим телефоном. После успешного пейринга скрипт автоматически заливает кастомную прошивку. Без какого-либо взаимодействия с пользователем.

CAN-шина (доступная через OBD-2 порт) тоже без аутентификации. Из Raspberry Pi Zero и CANable собирается компактный донгл, который пишет прошивку прямо на месте.

Ну и вишенка на торте - благодаря возможности кастомной прошивки можно сделать что угодно, трекер байков, выключение тормозов, включение максимальной скорости и это по удаленной команде… И всё это с возможностью пережить "сброс к заводским настройкам", потому что логика сброса тоже в прошивке.

Отдельная история с раскрытием информации: первые попытки связаться с Zero Motorcycles были в январе 2025-го, ответ пришёл в марте 2026-го - через 13 месяцев и только после подключения соответвующих органов :)
За это время компания всё же приняла меры: сервер обновлений отключен, доступ напрямую к шине отключён, подпись прошивок в тестировании. Как по мне, реакция запоздала примерно на год, но хоть что-то)

Статья длинная, с кодом, дизассемблером, схемами атак и юридическим разделом. Очень рекомендую всем, кто занимается безопасностью embedded-систем, automotive или просто хочет посмотреть на полноценный end-to-end ресерч -от Android-приложения до "Stuxnet для мотоцикла".

Ну и конечно, еще одно подтверждение, что в мобильных приложениях может быть скрыто намноооого больше, чем вы думаете ;)

#Android #Firmware #Automotive #Research #Vulnerability #ReverseEngineering

Ох, сколько я интересного за выходные накопал :))

Постараюсь систематически теперь обрабатывать и выкладывать)

Всем хорошего вечера воскресенья!)

Официальное приложение Белого дома - детальный анализ Android-версии.

Белый дом выпустил официальное приложение в App Store и Google Play. Исследователь (надеюсь он еще на свободе), скачал APK, закинул в JADX и написал подробный разбор того, что там нашёл. Результат получился занятный)

React Native + Expo SDK 54 + Hermes, бэкенд на WordPress с кастомным REST API. Достаточно неплохой сетап, смущает только WordPress, но это ладно, а вот дальше начинается веселье.

Каждый раз, когда пользователь открывает внешнюю ссылку во встроенном браузере, приложение инжектит JavaScript в загружаемую страницу. Этот скрипт скрывает cookie-баннеры, GDPR-диалоги и прочие важные вещи. MutationObserver следит, чтобы динамически добавляемые элементы тоже скрывались. Официальное приложение правительства США обходит GDPR-согласия на сторонних сайтах - это, конечно, уровень 😄

Дальше про трекинг. В Expo-конфиге есть плагин withNoLocation, который должен был вырезать геолокацию. Он не вырезал ничего (случайность?). В APK полностью скомпилирован весь GPS от OneSignal: запросы к fused location API каждые 4.5 минуты в foreground и 9.5 минут в background, сбор lat/lng/accuracy/timestamp, фоновый сервис, синхронизация на серверы OneSignal.

OneSignal в приложении делает не только пуши: привязка номеров телефонов, cross-device идентификация, трекинг кликов по нотификациям и in-app сообщениям, логирование всех взаимодействий. Всё это летит на серверы OneSignal, не на правительственную инфраструктуру.

Отдельная история с зависимостями. YouTube-плеер грузит HTML с личного GitHub Pages аккаунта lonelycpp - если аккаунт скомпрометируют, произвольный JS будет выполняться в WebView каждого пользователя. Email-подписки уходят в Mailchimp, картинки раздаёт Uploadcare. Ничего из этого не является правительственной инфраструктурой.

По классике, в продакшн-билде остались артефакты разработки: localhost URL разных серверов, IP разработчика 10.4.4.109, и еще куча всякого разного

Как по мне, ничего из этого сильно прям не критично, но мы же помним историю с байками?))

И все таки не будем забывать, что это официальное приложение правительства и настолько наплевательски относиться к качеству приложения, это надо постараться...


#Android #ReverseEngineering #Privacy #ReactNative #Research

Kahlo: MCP-сервер для Frida на Android или будущее уже здесь :D

Все мы сегодня пользуемся разными агентами и ИИ-помощниками :) И те, кто анализируют мобилки знают, что главная боль это Frida))) И вот есть очень интересный инструмент под названием Kahlo, который связывает Frida и вашего агента.

По сути это MCP-сервер, который оборачивает Frida в структурированный tool interface для AI-агентов (Claude, Cursor, Codex и компания). Агент сам обнаруживает устройства, аттачится к процессам, запускает инструментацию, читает события и много чего еще.

Есть еще пост от автора про этот тул (и он еще более интересен, чем сам инструмент), который рассказывает, как что устроено, как автор к этому пришел и так далее.

Очень рекомендую всем, кто регулярно работает с Frida на Android и увлекается всей этой историей с ИИ.

Да и на самом деле, этот MCP это не просто набор скилов, а видно, что хорошо продуман и много сил вложено в его создание. И очень интересно почитать про его возможности и создание, очень заряжает сделать что-то подобное :)

Я еще сам не пробовал, но выглядит прям интересно!

#Android #Frida #Tools #DynamicAnalysis #AI #Research

Claude Code Skill - автоматическая распаковка APK и извлечение API

В продолжение прошлого поста представляю инструмент попроще и для немного других целей, но тоже связанный с ИИ и агентами.

Тулза для тех, кто использует Claude Code. Репозиторий представляет из себя плагин-скилл, который берёт APK/XAPK/JAR/AAR и автоматически вытаскивает из него всё, что связано с HTTP-коммуникацией.

Под капотом jadx + Fernflower/Vineflower (можно запустить оба движка параллельно и сравнить вывод). Скилл умеет находить Retrofit-эндпоинты, OkHttp-вызовы, захардкоженные URL, auth-заголовки и токены. Плюс трейсит call flow от Activity/Fragment через ViewModel и репозитории вниз до конкретного HTTP-вызова. Отдельно есть стратегии для работы с обфусцированным кодом после ProGuard/R8.

Устанавливается через

/plugin marketplace add SimoneAvogadro/android-reverse-engineering-skill

после чего скилл активируется на фразы вроде "Decompile this APK" или "Extract API endpoints from this app".

Как по мне, идея лежала на поверхности и скорее всего есть много похожих скилов, но тут интересно еще интеграция нескольких инструментов для решения конкретной задачи. Насколько хорошо это работает на реально обфусцированных приложениях - вопрос, конечно, открытый, но попробовать точно стоит 🙂

#Android #ReverseEngineering #Tools #Frida #Research

Анализ Deep Links и WebView

Практически всегда, когда говорим об уязвимостях в WebView, тема deep links стоит где-то рядом. Ребята из 8kSec (кстати весьма неплохой блог у них) написали подробную статью, про диплинки и атаки на них.

Разбирают три сценария на примере уязвимого приложения InsecureShop:
- недостаточная валидация URL в deep link
- слабая валидация host
- полноценная эксплуатация WebView с setJavaScriptEnabled(true) и getAllowUniversalAccessFromFileURLs.

Отдельно понравилась часть про мониторинг deep links через Frida, можно взять на заметку.

В конце авторы предлагают попрактиковаться на приложении BuggyWebView, которое я раньше почему-то не видел.

#Android #WebView #DeepLinks #Pentest #Vulnerabilityм

Не знаю почему, но вот нравится мне эта конфа)