И снова про ключи в исходниках
После выхода вот этой замечательной статьи многие начали проверять, какие FCM ключи лежат у них в приложениях и проверять корректность их скоупа.
Недавно вышла еще одна интересная статья про утечки приватных ключей от AWS. В целом - та же самая история с неправильной конфигурацией прав доступа и их небезопасным хранением. При этом в статье приводится примеры приложений, у которых было найдены ключи, дающие доступ к сервисам ACM (Certificate Manager), ElasticBeanstalk, Kinesis, OpsWorks, S3. Один ключик и ты гуляешь по сервисам Adobe 😃
Ну что же, это еще один повод проверить, какие ключи от каких сервисов и с какими правами вы используете в своих приложениях!
И да, всех с рабочей неделей после праздников, надеюсь вы успели немного отдухнуть 😄
#AWS #Keys
После выхода вот этой замечательной статьи многие начали проверять, какие FCM ключи лежат у них в приложениях и проверять корректность их скоупа.
Недавно вышла еще одна интересная статья про утечки приватных ключей от AWS. В целом - та же самая история с неправильной конфигурацией прав доступа и их небезопасным хранением. При этом в статье приводится примеры приложений, у которых было найдены ключи, дающие доступ к сервисам ACM (Certificate Manager), ElasticBeanstalk, Kinesis, OpsWorks, S3. Один ключик и ты гуляешь по сервисам Adobe 😃
Ну что же, это еще один повод проверить, какие ключи от каких сервисов и с какими правами вы используете в своих приложениях!
И да, всех с рабочей неделей после праздников, надеюсь вы успели немного отдухнуть 😄
#AWS #Keys
Telegram
Mobile AppSec World
Firebase Cloud Messaging - как отправить push миллиарду пользователей
Во время анализа приложений мы постоянно находим различные токены от сервисов аналитики, а иногда и от нескольких, разных сервисов геолокации, карт и многих других, не сильно критичных…
Во время анализа приложений мы постоянно находим различные токены от сервисов аналитики, а иногда и от нескольких, разных сервисов геолокации, карт и многих других, не сильно критичных…
Дамп и расшифровка трафика без использования Proxy
Все мы так или иначе сталкивались с необходимостью посмотреть трафик приложения и поисследовать его. Но всегда мешают всякие нехорошие безопасники, которые заставляют делать разработчиков SSL Pinning в приложении. И наиболее частый вопрос - как открутить пиннинг в приложении.
Как правило, это использование frida или аналогов, чтобы подмениить и отключить проверку сертификата в приложении. Но сделать это удается далеко не всегда и не со всеми приложениями.
Есть альтернативный вариант данному методу - это логировать SSL-ключи, которые используются для шифрования внутри канала связи, снимать дамп трафика и потом его расшифровывать этими ключами.
Спасибо огромное @vadim_a_yegorov за универсальный скрипт для Android и iOS (12/13/14/15), который помогает снимать и сохранять ключи!
Вот тут можно найти полный Frida-код этого прекрасного скрипта.
Спасибо, это очень круто!
#sslpinning #ssl #keys #dump
Все мы так или иначе сталкивались с необходимостью посмотреть трафик приложения и поисследовать его. Но всегда мешают всякие нехорошие безопасники, которые заставляют делать разработчиков SSL Pinning в приложении. И наиболее частый вопрос - как открутить пиннинг в приложении.
Как правило, это использование frida или аналогов, чтобы подмениить и отключить проверку сертификата в приложении. Но сделать это удается далеко не всегда и не со всеми приложениями.
Есть альтернативный вариант данному методу - это логировать SSL-ключи, которые используются для шифрования внутри канала связи, снимать дамп трафика и потом его расшифровывать этими ключами.
Спасибо огромное @vadim_a_yegorov за универсальный скрипт для Android и iOS (12/13/14/15), который помогает снимать и сохранять ключи!
Вот тут можно найти полный Frida-код этого прекрасного скрипта.
Спасибо, это очень круто!
#sslpinning #ssl #keys #dump
Gist
sslkeylogger.js
GitHub Gist: instantly share code, notes, and snippets.