Forwarded from IOS App Sec
Here you can find write ups for iOS Vulnerabilities that have been released. 👽🔌
URL - https://github.com/writeups/iOS
#IOSAppSec #IOS #Learning #Hacking
URL - https://github.com/writeups/iOS
#IOSAppSec #IOS #Learning #Hacking
GitHub
GitHub - writeups/iOS: Here you can find write ups for iOS Vulnerabilities that have been released.
Here you can find write ups for iOS Vulnerabilities that have been released. - writeups/iOS
Workshop по безопасности Android
Нашелся тут достаточно интересный Android Security Workshop, состоящий из трёх модулей, в каждом из которых разбирается много интересных вещей, не только про уровень приложений, но и о самой архитектуре Android и моделях безопасности.
Состав курса:
Модуль 1:
- Access Control In the Android OS
- SELinux
- Application Signing
- Permission Based Access Control
- Hardware Based Security Features
Модуль 2:
- Application Components
- WebViews / Use and Abuse
- The Window Manager / Use and Abuse
- Accessibility Service, Admin API, DCL, Reflection / Use and Abuse
Модуль 3:
- The Java Native Interface
Достаточно неплохой материал, помогает понять, как устроены механизмы внутри. А зная это, можно уже переходить и к более интересным вещам 😉
Кстати, у автора ещё много интересных статей, которые можно почитать. И он же является автором небезызвестного фреймворка Medusa.
#Android #Workshop #Slides
Нашелся тут достаточно интересный Android Security Workshop, состоящий из трёх модулей, в каждом из которых разбирается много интересных вещей, не только про уровень приложений, но и о самой архитектуре Android и моделях безопасности.
Состав курса:
Модуль 1:
- Access Control In the Android OS
- SELinux
- Application Signing
- Permission Based Access Control
- Hardware Based Security Features
Модуль 2:
- Application Components
- WebViews / Use and Abuse
- The Window Manager / Use and Abuse
- Accessibility Service, Admin API, DCL, Reflection / Use and Abuse
Модуль 3:
- The Java Native Interface
Достаточно неплохой материал, помогает понять, как устроены механизмы внутри. А зная это, можно уже переходить и к более интересным вещам 😉
Кстати, у автора ещё много интересных статей, которые можно почитать. И он же является автором небезызвестного фреймворка Medusa.
#Android #Workshop #Slides
Medium
Android Security Workshop
Module 1
Анализ приложений при помощи Jadx и Frida
Пару дней назад релизнулся один из самых классных декомпиляторов - jadx! Проект очень быстро развивается, автор очень быстро фиксит баги и добавляет функционал (кстати это тоже наш соотечественник).
В связи с этим радостным событием хочу порекомендовать статью для начинающих, анализ и модификация приложений при помощи jadx и frida.
Для матерых специалистов будет мало что полезного, но для тех, кто начинает свой путь, вполне годно. Рассказана основа, структура apk, как использовать jadx, что искать и что с этим потом делать 😀
Полезная штука в общем. Ну и для тех, кто любит пообходить всякое, автор написал приложение, которое имплементирует SSL Pinning на нескольких разных популярных фреймворках. Можно попрактиковаться и открутить их всех! :D
Статья, кстати, от автора тулы для перехвата трафика, которая обещает автоматический сетап для браузеров, мобилок, приложений на электроне и т.д. Не знаю, зачем я это написал, но она OpenSource, может кому пригодится доя быстрого анализа)
#https #frida #jadx #ctf #pinning #mitm
Пару дней назад релизнулся один из самых классных декомпиляторов - jadx! Проект очень быстро развивается, автор очень быстро фиксит баги и добавляет функционал (кстати это тоже наш соотечественник).
В связи с этим радостным событием хочу порекомендовать статью для начинающих, анализ и модификация приложений при помощи jadx и frida.
Для матерых специалистов будет мало что полезного, но для тех, кто начинает свой путь, вполне годно. Рассказана основа, структура apk, как использовать jadx, что искать и что с этим потом делать 😀
Полезная штука в общем. Ну и для тех, кто любит пообходить всякое, автор написал приложение, которое имплементирует SSL Pinning на нескольких разных популярных фреймворках. Можно попрактиковаться и открутить их всех! :D
Статья, кстати, от автора тулы для перехвата трафика, которая обещает автоматический сетап для браузеров, мобилок, приложений на электроне и т.д. Не знаю, зачем я это написал, но она OpenSource, может кому пригодится доя быстрого анализа)
#https #frida #jadx #ctf #pinning #mitm
GitHub
Releases · skylot/jadx
Dex to Java decompiler. Contribute to skylot/jadx development by creating an account on GitHub.
Изменения в MASVS и MSTG
Не так давно прошел митап от OWASP, где обсуждались изменения и будущие улучшения в главных документах для мобилок от OWASP (стандатрте MASVS и гайду MSTG).
Обещают автоматическую генерацию чеклистов на основании MASVS, глобальную переработку структуры и контента, более прозрачную связь между этими документами.
Насколько я понял, бегло пробежав по видео - можно подискуровать и предложить что-то своё в issue на github или присоединившись в Discord.
Интересная и правильная активность, постараюсь в ближайшее время посмотреть подробнее и накидать ссылок на самые интересные изменения.
Посмотреть весь доклад можно на YouTube.
Плюсом к обсуждению переработки документов, на том же вебинаре можно посмотреть доклад Cracking Android PINs.
#owasp #masvs #mstg
Не так давно прошел митап от OWASP, где обсуждались изменения и будущие улучшения в главных документах для мобилок от OWASP (стандатрте MASVS и гайду MSTG).
Обещают автоматическую генерацию чеклистов на основании MASVS, глобальную переработку структуры и контента, более прозрачную связь между этими документами.
Насколько я понял, бегло пробежав по видео - можно подискуровать и предложить что-то своё в issue на github или присоединившись в Discord.
Интересная и правильная активность, постараюсь в ближайшее время посмотреть подробнее и накидать ссылок на самые интересные изменения.
Посмотреть весь доклад можно на YouTube.
Плюсом к обсуждению переработки документов, на том же вебинаре можно посмотреть доклад Cracking Android PINs.
#owasp #masvs #mstg
Meetup
Login to Meetup | Meetup
Not a Meetup member yet? Log in and find groups that host online or in person events and meet people in your local community who share your interests.
А вот и описание второго доклада на канале от @OxFi5t с мероприятия OWASP.
Я до него так и не добрался, посмотрев только первую часть про обновление OWASP Mobile. Как оказалось зря :))
Я до него так и не добрался, посмотрев только первую часть про обновление OWASP Mobile. Как оказалось зря :))
Forwarded from Android Guards
Интересный доклад с прошедшего недавно митапа OWASP Melbourne, в котором рассказывается история человека пытающегося обойти экран блокировки путем подбора пин-кода.
Доклад совершенно ненапряжный и его можно посмотреть просто по фану. Там показано довольно много способов решения этой задачи и не исключено, что те, котрые не сработали у него - сработают у вас.
Способы такие:
1. Попробовать руками первые 20 вариантов из списка DataGenetics Research
2. Проверить комбинации важных дат (дни рождения, дни свадьбы, последние 4 цифры номера телефона, слова вроде LOVE,FUCK,etc... в T9 варианте)
3. Использовать Find My Device от Google
4. Использовать Find My Mobile от Samsung (или аналоги от других вендоров)
5. CVE-2015-3860 - крэш экрана блокировки на Samsung. Можно поискать аналоги у других вендоров
6. Использовать ADB чтобы удалить файл с пин-кодом/паттерном
7. Воспользоваться вот этим списком из еще 7ми способов с форума XDA
8. Попробовать специальные утилиты и устройства для мобильной криминалистики (forensic tools): Cellebrite, Oxygen, XRY, GrayKey, Octoplus, Odin + TWRP
9. Поискать публичные эксплойты
10. Использовать USB Rubber Ducky или аналоги (опционально спаять свой)
999. Выполнить сброс к заводским настройкам
Happy hacking 😎
tl;dr - обошел с помощью NetHunter-а, OTG кабеля и самописного скрипта для брутфорса. Скрипт забирайте здесь.Доклад совершенно ненапряжный и его можно посмотреть просто по фану. Там показано довольно много способов решения этой задачи и не исключено, что те, котрые не сработали у него - сработают у вас.
Способы такие:
1. Попробовать руками первые 20 вариантов из списка DataGenetics Research
2. Проверить комбинации важных дат (дни рождения, дни свадьбы, последние 4 цифры номера телефона, слова вроде LOVE,FUCK,etc... в T9 варианте)
3. Использовать Find My Device от Google
4. Использовать Find My Mobile от Samsung (или аналоги от других вендоров)
5. CVE-2015-3860 - крэш экрана блокировки на Samsung. Можно поискать аналоги у других вендоров
6. Использовать ADB чтобы удалить файл с пин-кодом/паттерном
/data/system/gesture.key7. Воспользоваться вот этим списком из еще 7ми способов с форума XDA
8. Попробовать специальные утилиты и устройства для мобильной криминалистики (forensic tools): Cellebrite, Oxygen, XRY, GrayKey, Octoplus, Odin + TWRP
9. Поискать публичные эксплойты
10. Использовать USB Rubber Ducky или аналоги (опционально спаять свой)
999. Выполнить сброс к заводским настройкам
Happy hacking 😎
YouTube
[Live🔴] The Mobile Sec Special - Melbourne Chapter (Virtual) Meetup - 23rd Nov 2021
Details here:
https://www.meetup.com/Application-Security-OWASP-Melbourne/events/282160343/
Chapter Survey: https://forms.gle/35e5gXWs5SX9xiG7A
Chat on Discord
https://discord.gg/uAWze2B
https://www.meetup.com/Application-Security-OWASP-Melbourne/events/282160343/
Chapter Survey: https://forms.gle/35e5gXWs5SX9xiG7A
Chat on Discord
https://discord.gg/uAWze2B
Анонсы мероприятий
Всем привет, появилось несколько новостей о мероприятиях, которые будут интересны и разработчикам и безопасникам:
- Митап по мобильной разработке от Сбера с достаточно интересными докладами
- Наконец-то анаос о дате проведения OffZone!
Ниже будут посты с материалами по этим мероприятиям, если интересно - присоединяйтесь) Если нет, пропускайте мимо)
Всем привет, появилось несколько новостей о мероприятиях, которые будут интересны и разработчикам и безопасникам:
- Митап по мобильной разработке от Сбера с достаточно интересными докладами
- Наконец-то анаос о дате проведения OffZone!
Ниже будут посты с материалами по этим мероприятиям, если интересно - присоединяйтесь) Если нет, пропускайте мимо)
Бесплатный митап Sber Mobile Meetup — 7 декабря, 17:00, онлайн
Сбер при поддержке JUG Ru Group проведет онлайн-митап для мобильных разработчиков. В программе — три доклада от специалистов, которые работают над сервисами Сбера:
– Андрей Попов — «Современный подход к анимациям в UICollectionView». Доклад об анимациях, применимых к коллекциям с помощью современных API в iOS SDK.
– Дмитрий Исаев — «Clean MMVM c Combine, SwiftUI в продакшене». Узнайте, как команда Сбера применила этот стек к большому объему бизнес-логики, вдохновившись Clean Code от дядюшки Боба Мартина.
– Андрей Данилов — «Как (не) ускорить сборку Android-проекта». Андрей расскажет, как не наступить на грабли при ускорении сборки: исправить порядок репозиториев зависимостей и найти альтернативы для неэффективных инструментов.
А еще вы сможете задать спикерам вопросы после докладов и пообщаться с коллегами в Spatial chat.
Участие бесплатное, нужно только зарегистрироваться. Ждем вас!
Сбер при поддержке JUG Ru Group проведет онлайн-митап для мобильных разработчиков. В программе — три доклада от специалистов, которые работают над сервисами Сбера:
– Андрей Попов — «Современный подход к анимациям в UICollectionView». Доклад об анимациях, применимых к коллекциям с помощью современных API в iOS SDK.
– Дмитрий Исаев — «Clean MMVM c Combine, SwiftUI в продакшене». Узнайте, как команда Сбера применила этот стек к большому объему бизнес-логики, вдохновившись Clean Code от дядюшки Боба Мартина.
– Андрей Данилов — «Как (не) ускорить сборку Android-проекта». Андрей расскажет, как не наступить на грабли при ускорении сборки: исправить порядок репозиториев зависимостей и найти альтернативы для неэффективных инструментов.
А еще вы сможете задать спикерам вопросы после докладов и пообщаться с коллегами в Spatial chat.
Участие бесплатное, нужно только зарегистрироваться. Ждем вас!
🚩Конференция OFFZONE пройдет 25–26 августа 2022 года 🚩
Международная конференция по практической кибербезопасности OFFZONE уже в третий раз пройдет в Москве с 25 по 26 августа 2022 года в очном формате.
Тщательно подобранный контент, любимое комьюнити и, конечно, уютная атмосфера постапа — все остается на местах.
К сожалению, ни в прошлом, ни в позапрошлом годах конференцию провести не удалось в связи со сложной эпидеомиологической обстановкой. К счастью, правила проведения массовых мероприятий более-менее устаканились, поэтому удалось определиться с датой.
Почему не онлайн? Организаторы отказались от этого формата, чтобы не потерять дух OFFZONE! Как ни крути, а живое общение и атмосферу ничем не заменишь.
Билетов пока нет в продаже, но уже скоро они появятся — планируйте бюджет заранее. Если у вас остался билет на OFFZONE 2020, то вы не только сможете посетить OFFZONE 2022 по нему, но и получите эксклюзивные футболки за верность конференции!
Цены, локация, спикеры, доклады — обо всем этом позже.
Следите за новостями на сайте конференции и в соцсетях:
• Телеграм-канал
• Twitter
• Instagram
Международная конференция по практической кибербезопасности OFFZONE уже в третий раз пройдет в Москве с 25 по 26 августа 2022 года в очном формате.
Тщательно подобранный контент, любимое комьюнити и, конечно, уютная атмосфера постапа — все остается на местах.
К сожалению, ни в прошлом, ни в позапрошлом годах конференцию провести не удалось в связи со сложной эпидеомиологической обстановкой. К счастью, правила проведения массовых мероприятий более-менее устаканились, поэтому удалось определиться с датой.
Почему не онлайн? Организаторы отказались от этого формата, чтобы не потерять дух OFFZONE! Как ни крути, а живое общение и атмосферу ничем не заменишь.
Билетов пока нет в продаже, но уже скоро они появятся — планируйте бюджет заранее. Если у вас остался билет на OFFZONE 2020, то вы не только сможете посетить OFFZONE 2022 по нему, но и получите эксклюзивные футболки за верность конференции!
Цены, локация, спикеры, доклады — обо всем этом позже.
Следите за новостями на сайте конференции и в соцсетях:
• Телеграм-канал
Telegram
OFFZONE
Международная конференция по практической кибербезопасности.
Объединяем безопасников, разработчиков, инженеров, исследователей, преподавателей и студентов с 2018 года.
https://offzone.moscow/ru/
Все согласия получены. Условий субъектами не установлено
Объединяем безопасников, разработчиков, инженеров, исследователей, преподавателей и студентов с 2018 года.
https://offzone.moscow/ru/
Все согласия получены. Условий субъектами не установлено
Реверс протокола камер Reolink
Достаточно давно интересуюсь системами умного дома и в целом устройствами IoT.
И вот наткнулся на очень интересную статью про реверс проприетарного протокола камер Reolink с целью его преобразования в популярный и народный RTSP.
Чем она приглянулась и почему решил поделиться с вами? В статье много инструментов, которые мы часто используем, тут и Wireshark, анализ firmware, использование Ghidra, поиск строк, использование gdb, strace и многое другое. Интересно посмотреть на использование таких знакомых вещей под немного другим углом 😄
Надеюсь вам тоже будет немного интересно почитать, а может даже и полезно 🙃
#Reolink #iot #smarthome #reverse
Достаточно давно интересуюсь системами умного дома и в целом устройствами IoT.
И вот наткнулся на очень интересную статью про реверс проприетарного протокола камер Reolink с целью его преобразования в популярный и народный RTSP.
Чем она приглянулась и почему решил поделиться с вами? В статье много инструментов, которые мы часто используем, тут и Wireshark, анализ firmware, использование Ghidra, поиск строк, использование gdb, strace и многое другое. Интересно посмотреть на использование таких знакомых вещей под немного другим углом 😄
Надеюсь вам тоже будет немного интересно почитать, а может даже и полезно 🙃
#Reolink #iot #smarthome #reverse
www.thirtythreeforty.net
Hacking Reolink cameras for fun and profit
Dragging Reolink, kicking and screaming, into the light of the open-standards day
Взлом Google Pay, Samsung Pay и Apple Pay
Все мы пользуемся таким уже привычным NFC. Ведь это так удобно, взял с собой телефон и никакие карты или наличка уже не нужны. Но как это работает внутри и главный вопрос - насколько это безопасно?
Я столкнулся с проблемой лично только один раз, когда ехал в автобусе, читал очередную статью, во время поворота неудачно прислонился вплотную к валидатору. И оплатил поездку, хотя не собирался этого делать 😄
Эта ситуация стала поводом начать разбираться в процессе привязки, оплаты, подтверждения и всего остального, связанного с картами в телефоне. Стало просто интересно, а что еще можно сделать и каким образом?
В процессе ознакомления мне много помогали коллеги из банковского сектора, а также шикарные материалы от Тимура Юнусова, потрясающего researcher'a и автора многочисленных статей по безопасности и различным атакам на банковские карты:
- Атакуем бесконтактные карты
- Как работают атаки на чиповые карты
- Как хакеры крадут деньги с банковских карт
- Разбираемся, как работают системы безопасности кредитных карт
Очень рекомендую их прочитать (а еще посмотреть его выступления), чтобы понять как все устроено и какие атаки в принципе возможны. Написано очень и очень подробно с максимальным погружением в тематику.
Но сегодня не об этом, а о новой статье Тимура - "Взлом Google Pay, Samsung Pay и Apple Pay". Да, это как раз статья о том, какие атаки становятся возможными благодаря такой удобной и полезной функциональности наших устройств - бесконтактная оплата.
Не хочу раскрывать все детали, приведу лишь несколько слов автора, после которых очень хочется перечитать статью еще раз:
Атаки, которые возможны до сих пор:
1. Транспортная карта Visa + ApplePay — безлимитные платежи на заблокированном, разряженном или украденном устройстве. Также до сих пор возможны платежи по кошелькам Visa + Google Pay, тут с 2019 года ничего не изменилось.
2. MasterCard + Google Pay — возможно клонирование транзакций, когда украденной информации будет достаточно для совершения определенного числа платежей.
3. Остальные вариации карта + кошелек — атаки возможны только при манипуляции Transaction Stream.
Статья размещена на Хакер и пока что находится в закрытом доступе, но спасибо автору, он отправил мне PDF, чтобы все могли прочитать и ознакомиться с результатами исследования. И это действительно того стоит, очень и очень рекомендую всем, кому интересна тема бесконтактных платежей, как они устроены и как получить деньги с разряженного iPhone.
Приятного чтения!
#visa #mastercard #applepay #samsungpay #googlepay #research
Все мы пользуемся таким уже привычным NFC. Ведь это так удобно, взял с собой телефон и никакие карты или наличка уже не нужны. Но как это работает внутри и главный вопрос - насколько это безопасно?
Я столкнулся с проблемой лично только один раз, когда ехал в автобусе, читал очередную статью, во время поворота неудачно прислонился вплотную к валидатору. И оплатил поездку, хотя не собирался этого делать 😄
Эта ситуация стала поводом начать разбираться в процессе привязки, оплаты, подтверждения и всего остального, связанного с картами в телефоне. Стало просто интересно, а что еще можно сделать и каким образом?
В процессе ознакомления мне много помогали коллеги из банковского сектора, а также шикарные материалы от Тимура Юнусова, потрясающего researcher'a и автора многочисленных статей по безопасности и различным атакам на банковские карты:
- Атакуем бесконтактные карты
- Как работают атаки на чиповые карты
- Как хакеры крадут деньги с банковских карт
- Разбираемся, как работают системы безопасности кредитных карт
Очень рекомендую их прочитать (а еще посмотреть его выступления), чтобы понять как все устроено и какие атаки в принципе возможны. Написано очень и очень подробно с максимальным погружением в тематику.
Но сегодня не об этом, а о новой статье Тимура - "Взлом Google Pay, Samsung Pay и Apple Pay". Да, это как раз статья о том, какие атаки становятся возможными благодаря такой удобной и полезной функциональности наших устройств - бесконтактная оплата.
Не хочу раскрывать все детали, приведу лишь несколько слов автора, после которых очень хочется перечитать статью еще раз:
Атаки, которые возможны до сих пор:
1. Транспортная карта Visa + ApplePay — безлимитные платежи на заблокированном, разряженном или украденном устройстве. Также до сих пор возможны платежи по кошелькам Visa + Google Pay, тут с 2019 года ничего не изменилось.
2. MasterCard + Google Pay — возможно клонирование транзакций, когда украденной информации будет достаточно для совершения определенного числа платежей.
3. Остальные вариации карта + кошелек — атаки возможны только при манипуляции Transaction Stream.
Статья размещена на Хакер и пока что находится в закрытом доступе, но спасибо автору, он отправил мне PDF, чтобы все могли прочитать и ознакомиться с результатами исследования. И это действительно того стоит, очень и очень рекомендую всем, кому интересна тема бесконтактных платежей, как они устроены и как получить деньги с разряженного iPhone.
Приятного чтения!
#visa #mastercard #applepay #samsungpay #googlepay #research
xakep.ru
Близкие контакты. Атакуем бесконтактные карты
Бесконтактные банковские карты очень удобны: приложил карточку к терминалу, и через пару секунд в кармане звякнул телефон — покупка оплачена. Но это удобство имеет и обратную сторону: злоумышленники могут украсть деньги у держателей такого «пластика». Давай…
Больши митапов богу митапов
Продолжая тему с онлайн-мероприятиями для разработки - завтра пройдет митап от Luxoft и JUG Ru Group. Я бы про Flutter послушал))
На самом деле не хочется превращать канал в доску объявлений, но в последнее время много кто проводит бесплатные вебинары/семинары по разработке и иногда по безопасности. Наверное, это все конец года, когда времени осталось немного, а планов куча (как это знакомо).
Так что если вы проводите какое-то бесплатное мероприятие или платное, но готовы сделать скидку/выдать мерч/какие-либо плюшки подписчикам канала или разыграть пару билетов, я готов это запостить)
И отдельная просьба тем, кто читает, напишите в комментах, в целом полезные такие анонсы или нафиг их?
Продолжая тему с онлайн-мероприятиями для разработки - завтра пройдет митап от Luxoft и JUG Ru Group. Я бы про Flutter послушал))
На самом деле не хочется превращать канал в доску объявлений, но в последнее время много кто проводит бесплатные вебинары/семинары по разработке и иногда по безопасности. Наверное, это все конец года, когда времени осталось немного, а планов куча (как это знакомо).
Так что если вы проводите какое-то бесплатное мероприятие или платное, но готовы сделать скидку/выдать мерч/какие-либо плюшки подписчикам канала или разыграть пару билетов, я готов это запостить)
И отдельная просьба тем, кто читает, напишите в комментах, в целом полезные такие анонсы или нафиг их?
Forwarded from Anastasia Koroleva
Бесплатный онлайн-митап для мобильных разработчиков от Luxoft и JUG Ru Group
16 декабря, 18:00 (Мск, GMT+3)
Программа митапа:
📌 Дмитрий Мовчан — «Гайд по выживанию в мире UI тестов»
Дмитрий поможет понять, какой тип UI-тестирования вам нужен, поговорит про типичные проблемы и пройдется по инструментам, которые помогут с ними справиться.
📌 Михаил Зотьев — «Как проходит развитие библиотеки Elementary»
Elementary — библиотека, позволяющая писать приложения на Flutter в стиле паттерна MVVM. Из доклада Михаила вы узнаете про основные концепты, преимущества и недостатки библиотеки.
📌 Евгений Сатуров — «Стелем мягкую соломку на жесткий Flutter»
Евгений поделится с сообществом базой лучших практик разработки Flutter-проектов. В основе его доклада — опыт, накопленный командой Surf почти за 3 года работы с Flutter.
А также вас ждут дискуссии после каждого доклада и розыгрыши брендированного мерча за лучший вопрос.
Участие бесплатное, нужно только зарегистрироваться!
16 декабря, 18:00 (Мск, GMT+3)
Программа митапа:
📌 Дмитрий Мовчан — «Гайд по выживанию в мире UI тестов»
Дмитрий поможет понять, какой тип UI-тестирования вам нужен, поговорит про типичные проблемы и пройдется по инструментам, которые помогут с ними справиться.
📌 Михаил Зотьев — «Как проходит развитие библиотеки Elementary»
Elementary — библиотека, позволяющая писать приложения на Flutter в стиле паттерна MVVM. Из доклада Михаила вы узнаете про основные концепты, преимущества и недостатки библиотеки.
📌 Евгений Сатуров — «Стелем мягкую соломку на жесткий Flutter»
Евгений поделится с сообществом базой лучших практик разработки Flutter-проектов. В основе его доклада — опыт, накопленный командой Surf почти за 3 года работы с Flutter.
А также вас ждут дискуссии после каждого доклада и розыгрыши брендированного мерча за лучший вопрос.
Участие бесплатное, нужно только зарегистрироваться!
Полный гайд по платформе iOS
Наверное один из самых полезных, структурированных и интересных гайдов по платформе iOS от @vadimszzz (также гайд доступен на habr, там можно оставлять комментарии).
Включает в себя огромное количество информации, начиная от обзора платформы, инструментов и до различных приемов и последовательности действий для анализа приложений!
В конце каждого раздела большое количество ссылок на статьи, инструменты и документацию, которые могут помочь разобраться дальше.
Безумно полезный и качественный материал, спасибо большое тебе еще раз @vadimszzz 😃 Сохранил себе в закладки и думаю не один раз еще загляну во время анализа или для понимания того, как и что устроено в iOS
#ios #analisys #overview
Наверное один из самых полезных, структурированных и интересных гайдов по платформе iOS от @vadimszzz (также гайд доступен на habr, там можно оставлять комментарии).
Включает в себя огромное количество информации, начиная от обзора платформы, инструментов и до различных приемов и последовательности действий для анализа приложений!
В конце каждого раздела большое количество ссылок на статьи, инструменты и документацию, которые могут помочь разобраться дальше.
Безумно полезный и качественный материал, спасибо большое тебе еще раз @vadimszzz 😃 Сохранил себе в закладки и думаю не один раз еще загляну во время анализа или для понимания того, как и что устроено в iOS
#ios #analisys #overview
rentry.co
iOS Internals & Security Testing
Dec 15 2021 by Vadim Yegorov <vadimszzz@mail.ru>
Probably one of the most useful, structured and interesting guides on the iOS platform.
Includes a lot of information, covering from an overview of the platform, tools and to various approaches and actions…
Probably one of the most useful, structured and interesting guides on the iOS platform.
Includes a lot of information, covering from an overview of the platform, tools and to various approaches and actions…
Использование шифрования в мобильных приложениях
Новая статья от Oversecured - "Use cryptography in mobile apps the right way" отвечает наверное на самый частый вопрос, зачем мне шифровать данные, если они и так находятся внутри песочницы приложения? Они же уже защищены!
И конечно, ответ на этот вопрос есть в статье! Я думаю, @bagipro может всех нас научить, как доставать внутренние файлы приложений самыми разными способами:
- через WebView
- через получение доступа к произвольным * контент-провайдерам
- через неявные интенты
- сотни других примеров, не освещенных в статьях в блоге (надеюсь пока не освещенных)
Надеюсь, что вечер пятницы теперь пройдет намного интереснее, учитывая количество отсылок на различные материалы в статье 😄
#oversecured #crypto
Новая статья от Oversecured - "Use cryptography in mobile apps the right way" отвечает наверное на самый частый вопрос, зачем мне шифровать данные, если они и так находятся внутри песочницы приложения? Они же уже защищены!
И конечно, ответ на этот вопрос есть в статье! Я думаю, @bagipro может всех нас научить, как доставать внутренние файлы приложений самыми разными способами:
- через WebView
- через получение доступа к произвольным * контент-провайдерам
- через неявные интенты
- сотни других примеров, не освещенных в статьях в блоге (надеюсь пока не освещенных)
Надеюсь, что вечер пятницы теперь пройдет намного интереснее, учитывая количество отсылок на различные материалы в статье 😄
#oversecured #crypto
News, Techniques & Guides
Use cryptography in mobile apps the right way
At Oversecured, we scan thousands of apps every month. We observe that some vulnerabilities now come up much less frequently than they did a few years ago.
Новый релиз MSTG
Быстрый анонс всем известного Mobile Security Testing Guide.
Несколько часов назад вышла новая версия этого замечательного гайда.
Пока что, всех обещанных изменений в нем нет, но какие-то первые шаги уже прослеживаются. Из глобальных изменений:
- Replace Outdated Drozer when Possible
- Update iOS Binary Protection Checks
- Add iOS Debugging Symbols Inspection
- Add APK Signature Scheme (v4) by @Saket-taneja
- Add Patching Example for Debugging iOS Apps
- Add check for JWT Claim by @Saket-taneja
- Add section Loaded Native Libraries by @cpholguera
- Add Visual Studio App Center by @anantshri
- Add Privacy Labels and Rework Privacy Chapter
Так что гайд стал чуть более актуальным :)
#owasp #mstg #release
Быстрый анонс всем известного Mobile Security Testing Guide.
Несколько часов назад вышла новая версия этого замечательного гайда.
Пока что, всех обещанных изменений в нем нет, но какие-то первые шаги уже прослеживаются. Из глобальных изменений:
- Replace Outdated Drozer when Possible
- Update iOS Binary Protection Checks
- Add iOS Debugging Symbols Inspection
- Add APK Signature Scheme (v4) by @Saket-taneja
- Add Patching Example for Debugging iOS Apps
- Add check for JWT Claim by @Saket-taneja
- Add section Loaded Native Libraries by @cpholguera
- Add Visual Studio App Center by @anantshri
- Add Privacy Labels and Rework Privacy Chapter
Так что гайд стал чуть более актуальным :)
#owasp #mstg #release
GitHub
Release v1.3.0 · OWASP/owasp-mastg
What's Changed
Changes in MSTG Content
[Android Tool] Replace Outdated Drozer when Possible by @righettod in #1904
[MSTG-CODE-9] Update iOS Binary Protection Checks by @su-vikas in #1925
[MSTG...
Changes in MSTG Content
[Android Tool] Replace Outdated Drozer when Possible by @righettod in #1904
[MSTG-CODE-9] Update iOS Binary Protection Checks by @su-vikas in #1925
[MSTG...
Новый год к нам мчится
Друзья, спасибо всем вам огромное за то, что весь этот непростой год читали, обсуждали, комментировали и всячески поддерживали этот скромный канал по безопасности мобильных приложений :)
Надеюсь, что материалы, статьи и инструменты хоть немного помогли вам в работе, а может просто разнообразили вашу ленту и контент)
Под конец года было очень много приятных забот и рабочих задач, так что поддерживать регулярность материалов было непросто. Но, я очень надеюсь взять себя в руки и в следующем году порадовать более стабильными постами.
Ну и конечно, не обойдется без новых форматов и идей)
Так что всем счастливого года, творческих и профессиональных успехов и главное, здоровья и гармонии!
Ура! 🎄🥳🍾🥂
#newyear
Друзья, спасибо всем вам огромное за то, что весь этот непростой год читали, обсуждали, комментировали и всячески поддерживали этот скромный канал по безопасности мобильных приложений :)
Надеюсь, что материалы, статьи и инструменты хоть немного помогли вам в работе, а может просто разнообразили вашу ленту и контент)
Под конец года было очень много приятных забот и рабочих задач, так что поддерживать регулярность материалов было непросто. Но, я очень надеюсь взять себя в руки и в следующем году порадовать более стабильными постами.
Ну и конечно, не обойдется без новых форматов и идей)
Так что всем счастливого года, творческих и профессиональных успехов и главное, здоровья и гармонии!
Ура! 🎄🥳🍾🥂
#newyear
Ну и не могу не зарепостить новость и статью от @OxFi5t из его канала)
Спасибо тебе за уникальный контент, что ты делаешь! И ждем новых интересных вещей в следующем году!
Спасибо тебе за уникальный контент, что ты делаешь! И ждем новых интересных вещей в следующем году!