Если кто-то вчера не успел посмотреть, то вот постоянная ссылка на запись:
https://youtu.be/Xn6CSqJpf6I
Убрано лишнее,остался самый сок :)
#Android #Pinning #SSL #Bypass
https://youtu.be/Xn6CSqJpf6I
Убрано лишнее,остался самый сок :)
#Android #Pinning #SSL #Bypass
YouTube
Как прикрутить и отломать SSL pinning. CetificatePinner & NSC vs Reverse Engineer
Автоматическое откручивание SSL pinning-а не всегда хорошо работает и порой приходится выпиливать его руками, чтобы посмотреть трафик приложения. Напишем приложение с двумя видами пиннинга сертификатов и обфусцируем его (чтобы было интереснее). А потом покажу…
Реверс приложений на Flutter
Несколько раз за последнее время в различных чатах всплывал вопрос про анализ приложений на Flutter, как к ним подступиться, как анализировать?
И там же всплыла очень интересная ссылка на инструмент по реверсу Flutter-приложений под названием reFlutter.
Из описания:
Этот фреймворк помогает при реверсе Flutter приложений благодаря пропатченной версии библиотеки Flutter, которая скомпилирована и готова к переупаковке приложения. В этой библиотеке изменен процесс десериализации, для более удобного динамического анализа.
Поддерживает iOS и Android и умеет перехватыватывать трафик приложения и перенаправлять его на прокси без необходимости ставить сертификаты и рутовать устройство. По словам создателя он автоматически умеет снимать некоторые виды Certificate Pinning, который используется во Flutter. Как мне кажется, только ради этого можно его попробовать 😁
Я сам пока не добрался до него, так как не было подходящего случая, но, думаю что в скором поюзаю) Ну и если у вас есть опыт использования - напшите, как этот фреймворк показывает себя в деле)
#tools #flutter #reverse #pinning
Несколько раз за последнее время в различных чатах всплывал вопрос про анализ приложений на Flutter, как к ним подступиться, как анализировать?
И там же всплыла очень интересная ссылка на инструмент по реверсу Flutter-приложений под названием reFlutter.
Из описания:
Этот фреймворк помогает при реверсе Flutter приложений благодаря пропатченной версии библиотеки Flutter, которая скомпилирована и готова к переупаковке приложения. В этой библиотеке изменен процесс десериализации, для более удобного динамического анализа.
Поддерживает iOS и Android и умеет перехватыватывать трафик приложения и перенаправлять его на прокси без необходимости ставить сертификаты и рутовать устройство. По словам создателя он автоматически умеет снимать некоторые виды Certificate Pinning, который используется во Flutter. Как мне кажется, только ради этого можно его попробовать 😁
Я сам пока не добрался до него, так как не было подходящего случая, но, думаю что в скором поюзаю) Ну и если у вас есть опыт использования - напшите, как этот фреймворк показывает себя в деле)
#tools #flutter #reverse #pinning
GitHub
GitHub - ptswarm/reFlutter: Flutter Reverse Engineering Framework
Flutter Reverse Engineering Framework. Contribute to ptswarm/reFlutter development by creating an account on GitHub.
Способы обхода SSL Pinning в iOS
Вечная и не теряющая актуальности тема, как обойти SSL Pinning, как посмотреть трафик приложения?
Есть очень интересный твит, призванный собрать разные способы с их плюсами и минусами. Как обычно, комментарии очень хорошо дополняют исходный текст и там больше информации и очень много полезных ссылок на самые разные материалы. Советую полистать этим субботним вечером.
Ну и компании по анализу мобилок тоже не остаются в стороне, блог от AppKnox, который также собирает несколько способов обхода Pinning. Ничего нового, но описано неплохо и как методичка подойдет вполне 😁
Всем хороших выходных)
#ios #pinning #ssl
Вечная и не теряющая актуальности тема, как обойти SSL Pinning, как посмотреть трафик приложения?
Есть очень интересный твит, призванный собрать разные способы с их плюсами и минусами. Как обычно, комментарии очень хорошо дополняют исходный текст и там больше информации и очень много полезных ссылок на самые разные материалы. Советую полистать этим субботним вечером.
Ну и компании по анализу мобилок тоже не остаются в стороне, блог от AppKnox, который также собирает несколько способов обхода Pinning. Ничего нового, но описано неплохо и как методичка подойдет вполне 😁
Всем хороших выходных)
#ios #pinning #ssl
Twitter
Davy Douhine
Proxying is not the only way to monitor network traffic on your iOS mobile apps 📲 Different techniques for different use cases. Here's an attempt to summarize them. If you know other techniques plz tell me 🙏#mobilesecurity
Анализ приложений при помощи Jadx и Frida
Пару дней назад релизнулся один из самых классных декомпиляторов - jadx! Проект очень быстро развивается, автор очень быстро фиксит баги и добавляет функционал (кстати это тоже наш соотечественник).
В связи с этим радостным событием хочу порекомендовать статью для начинающих, анализ и модификация приложений при помощи jadx и frida.
Для матерых специалистов будет мало что полезного, но для тех, кто начинает свой путь, вполне годно. Рассказана основа, структура apk, как использовать jadx, что искать и что с этим потом делать 😀
Полезная штука в общем. Ну и для тех, кто любит пообходить всякое, автор написал приложение, которое имплементирует SSL Pinning на нескольких разных популярных фреймворках. Можно попрактиковаться и открутить их всех! :D
Статья, кстати, от автора тулы для перехвата трафика, которая обещает автоматический сетап для браузеров, мобилок, приложений на электроне и т.д. Не знаю, зачем я это написал, но она OpenSource, может кому пригодится доя быстрого анализа)
#https #frida #jadx #ctf #pinning #mitm
Пару дней назад релизнулся один из самых классных декомпиляторов - jadx! Проект очень быстро развивается, автор очень быстро фиксит баги и добавляет функционал (кстати это тоже наш соотечественник).
В связи с этим радостным событием хочу порекомендовать статью для начинающих, анализ и модификация приложений при помощи jadx и frida.
Для матерых специалистов будет мало что полезного, но для тех, кто начинает свой путь, вполне годно. Рассказана основа, структура apk, как использовать jadx, что искать и что с этим потом делать 😀
Полезная штука в общем. Ну и для тех, кто любит пообходить всякое, автор написал приложение, которое имплементирует SSL Pinning на нескольких разных популярных фреймворках. Можно попрактиковаться и открутить их всех! :D
Статья, кстати, от автора тулы для перехвата трафика, которая обещает автоматический сетап для браузеров, мобилок, приложений на электроне и т.д. Не знаю, зачем я это написал, но она OpenSource, может кому пригодится доя быстрого анализа)
#https #frida #jadx #ctf #pinning #mitm
GitHub
Releases · skylot/jadx
Dex to Java decompiler. Contribute to skylot/jadx development by creating an account on GitHub.
Обход SSL Pinning для Flutter-приложений с использованием Ghidra
На волне участившихся вопросов про Flutter-приложения (привет, Stepn) и большого количества людей, кто начинает их реверсить и смотреть в трафик, не могу не поделиться статьёй про снятие пиннинга при помощи Ghidra.
Статья представляет из себя последовательность действий, что делал автор, как искал и что заменял в libflutter.so. Интересно почитать, как он прошел этот путь, чем руководствовался и что в итоге получилось. Как обычно бывает, достаточно много референсов на другие не менее интересные статьи.
Можно попробовать это повторить или попробовать скачать уже модифицированный файл и его заменить в анализируемом приложении.
#Flutter #Android #Ghidra #pinning
На волне участившихся вопросов про Flutter-приложения (привет, Stepn) и большого количества людей, кто начинает их реверсить и смотреть в трафик, не могу не поделиться статьёй про снятие пиннинга при помощи Ghidra.
Статья представляет из себя последовательность действий, что делал автор, как искал и что заменял в libflutter.so. Интересно почитать, как он прошел этот путь, чем руководствовался и что в итоге получилось. Как обычно бывает, достаточно много референсов на другие не менее интересные статьи.
Можно попробовать это повторить или попробовать скачать уже модифицированный файл и его заменить в анализируемом приложении.
#Flutter #Android #Ghidra #pinning
Stepn
STEPN is a Web3 lifestyle app with Social-Fi and Game-Fi elements
In STEPN, your steps are worth more than you think -- exercising and moving outdoors
can now earn anyone tokens anytime, anywhere. We believe this simple design can nudge millions into healthier
lifestyles and bring them to the Web3 world.
can now earn anyone tokens anytime, anywhere. We believe this simple design can nudge millions into healthier
lifestyles and bring them to the Web3 world.
Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом
Очень часто и много вопросов в разных чатах и на тренингах вызывает тема защиты канала связи, а именно SSL Pinning. Попробовать рассказать, что это такое, а также, к чему может привести отстутствие этого механизма я попробовал в статье "Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом".
Но на самом деле, прежде чем говорить о пиннинге, нужно понимать, что вообще происходит при взаимодействии клиента и сервера, как проходит установка безопасного соединения и еще несколько базовых вещей.
Я постарался описать все эти вещи максимально просто, так, как сам их понимаю, и надеюсь, что этот материал будет полезен тем, кто хочет сделать свой продукт более безопасным и разобраться, как работает этот механизм.
Я старался, так что, надеюсь, вам понравится!
Всех с понедельником и хорошей недели!
#Habr #SSL #Pinning
Очень часто и много вопросов в разных чатах и на тренингах вызывает тема защиты канала связи, а именно SSL Pinning. Попробовать рассказать, что это такое, а также, к чему может привести отстутствие этого механизма я попробовал в статье "Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом".
Но на самом деле, прежде чем говорить о пиннинге, нужно понимать, что вообще происходит при взаимодействии клиента и сервера, как проходит установка безопасного соединения и еще несколько базовых вещей.
Я постарался описать все эти вещи максимально просто, так, как сам их понимаю, и надеюсь, что этот материал будет полезен тем, кто хочет сделать свой продукт более безопасным и разобраться, как работает этот механизм.
Я старался, так что, надеюсь, вам понравится!
Всех с понедельником и хорошей недели!
#Habr #SSL #Pinning
Хабр
Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом
Привет, Хабр! Меня зовут Юрий Шабалин, как вы, наверное, уже знаете, я один из основателей компании Стингрей Технолоджиз, разработчика платформы анализа защищенности мобильных приложений iOS и...
Заметки на полях
В соседнем чате @horosho88 подсказал, как добавить сертификат в системные на 12-м Android. Думаю, многим будет полезно.
Спасибо, что делитесь своими наработками и лайвхаками, которые могут упростить жизнь другим :)
#android #certs #samsung #pinning
В соседнем чате @horosho88 подсказал, как добавить сертификат в системные на 12-м Android. Думаю, многим будет полезно.
Спасибо, что делитесь своими наработками и лайвхаками, которые могут упростить жизнь другим :)
#android #certs #samsung #pinning
SSL, Pinning, Российские сертификаты и Минцифры
Один из подписчиков предложил новость для публикации. Я прочитал статью и подумал, а почему бы нет, наверняка многие с этим столкнулись или столкнуться в ближайшее время.
Поэтому прошу вашего внимания статью "Как подключить российский SSL-сертификат к iOS-приложению".
Как обычно это бывает на Хабре, самый сок всегда в комментариях)
Ну что мне сказать) Есть проблема - есть решение, а вот насколько всё это правильно или нет, это вопрос уже совсем другого порядка...
Так что надеюсь, что данный материал может быть полезен разработке в случаях с необходимостью работы с различными эквайрингами, в том числе и Российскими.
#iOS #certificate #pinning(?)
Один из подписчиков предложил новость для публикации. Я прочитал статью и подумал, а почему бы нет, наверняка многие с этим столкнулись или столкнуться в ближайшее время.
Поэтому прошу вашего внимания статью "Как подключить российский SSL-сертификат к iOS-приложению".
Как обычно это бывает на Хабре, самый сок всегда в комментариях)
Ну что мне сказать) Есть проблема - есть решение, а вот насколько всё это правильно или нет, это вопрос уже совсем другого порядка...
Так что надеюсь, что данный материал может быть полезен разработке в случаях с необходимостью работы с различными эквайрингами, в том числе и Российскими.
#iOS #certificate #pinning(?)
Хабр
Как подключить российский SSL-сертификат к iOS-приложению
Одна из санкций, которая досталась России, — запрет на выдачу и продление SSL-сертификатов. Это приводит к тому, что у некоторых компаний сертификат может протухнуть и сайты перестанут открываться....
Перехват трафика в Android
Сколько вопросов, столько и гайдов по тому, как же все-таки осуществить перехват трафика приложения в Android… Да что там, я и сам недавно гуглил, как завернуть трафик эмулятора через прокси в новом интерфейсе Android Studio :)
А вот и еще одна статья по данной тематике, но, честно говоря мне почему-то она очень понравилась. Или контент или оформление в виде инструкции по шагам, или использование HTTP Toolkit в качестве VPN/прокси, но я решил о ней написать.
Плюс, для начинающих, если заглянуть в список репозиториев, то можно лучше понять, как работать со студией и эмуляторами, что тоже немаловажно.
В общем, пользуйтесь, если кто не знал или никогда не смотрел в сторону заворачивания трафика через VPN.
И хороших вам всем выходных!
#android. #pinning #proxy
Сколько вопросов, столько и гайдов по тому, как же все-таки осуществить перехват трафика приложения в Android… Да что там, я и сам недавно гуглил, как завернуть трафик эмулятора через прокси в новом интерфейсе Android Studio :)
А вот и еще одна статья по данной тематике, но, честно говоря мне почему-то она очень понравилась. Или контент или оформление в виде инструкции по шагам, или использование HTTP Toolkit в качестве VPN/прокси, но я решил о ней написать.
Плюс, для начинающих, если заглянуть в список репозиториев, то можно лучше понять, как работать со студией и эмуляторами, что тоже немаловажно.
В общем, пользуйтесь, если кто не знал или никогда не смотрел в сторону заворачивания трафика через VPN.
И хороших вам всем выходных!
#android. #pinning #proxy
GitHub
GitHub - LabCIF-Tutorials/Tutorial-AndroidNetworkInterception: How to intercept network trafic on Android
How to intercept network trafic on Android. Contribute to LabCIF-Tutorials/Tutorial-AndroidNetworkInterception development by creating an account on GitHub.
Всем привет!
Давно не было интересных новостей и вот самая актуальная тема всех чатов -
На этот раз это видео про обход этого во Flutter-based приложениях. И это весьма интересно, так как Flutter внутри себя использует несколько другие подходы и стандартные скрипты по снятию защиты не работают.
К сожалению, это видно на английском от индуса с классическим акцентом, который надо уметь слушать, моего терпения не хватает, а сожалению.
А вообще в канале достаточно много интересных видео на тему анализа мобильных приложений и использования Frida и других инструментов. Тае что, кому заходит видео-инструкции и кто выдерживает индусский акцент, может быть достаточно интересно.
#android #pinning #flutter
YouTube
Bypass SSL Pinning for Flutter apps using Frida
Hello everyone,
In this video we're diving deep into the world of SSL traffic interception in Flutter Android applications. Flutter handles SSL/TLS differently from your typical Android apps, and in this video, we're going to explore the inner workings.…
In this video we're diving deep into the world of SSL traffic interception in Flutter Android applications. Flutter handles SSL/TLS differently from your typical Android apps, and in this video, we're going to explore the inner workings.…