Интересный формат собеседования

Ко мне тут обратились из VK, попросили опубликовать их пост про достаточно интересный, на мой взгляд формат собеседований. По крайней мере я такого раньше не встречал.

Если кто вдруг решит сходить, напишите потом, как оно вам, понравилось и стоит ли того?)

Как получить оффер в одну из Команд ВКонтакте всего за одни выходные

Команды ленты и рекомендаций, VK Клипов, сообществ и VK Видео приглашают iOS-разработчиков на Weekend offer и организуют встречу с тимлидами. 30 и 31 июля они расскажут про структуру компании, процессы и задачи, которые предстоит решать, а ещё ответят на все вопросы и проведут интервью с кандидатами. А в воскресенье вечером определят лучших кандидатов и отправят им офферы.

Регистрация заканчивается уже завтра!

Подать заявку можно вот тут

🔎 Ищем спикеров на Hardware.Zone и AppSec.Zone

Call for papers двух зон открыт до 1 августа.

На Hardware.Zone мы будем рады любителям железа. Здесь вы сможете провести мастер-класс или представить ваше исследование в области безопасности устройств. 

Присылайте заявки в свободной форме на hardware@offzone.moscow. 

На AppSec.Zone мы ищем спикеров с докладами по безопасности приложений. Приходите, чтобы рассказать о построении SDLC, описать новые техники эксплуатации, поделиться интересными уязвимостями из опыта ресерчей и bug bounty. 

Заявку можно подать через сайт.

И наконец-то итоги конкурса #offzone2

Как-то я снова немного подзатянул с финализацией розыгрыша, но тем не менее вот оно!

По итогу конкурса я долго думал, так как мне очень понравилось несколько постов, но все-таки я решил выбрать @avkhamitov в качестве победителя!

Поздравляю, ты получаешь проходку на OFFZONE!

Всем спасибо большое за участие и интерес!

Ну и напомню, все, кто участвовал в розыгрыше, присылал свои истории и пытался победить, но не победил, если вы будете на OFFZONE, приходитте к нашему стенду и я выдам вам полный набор мерча, который у нас будет)

Спасибо всем и до встречи на OFFZONE 😎

А вот и шикарная подборка статей и материалов от победителя!

Не так давно составлял подборку статей по анализу и безопасности кросс-платформенных приложений. Ресурсов очень мало, в особенности, если оставить за рамками хайповый Flutter.

Анализ приложений
⁃ Статья про исследование React Native приложений ( + обзор JS движка Hermes и утилиты для его анализа)
⁃ Статья про исследование и патчинг Xamarin приложений
⁃ Подборка полезных ресурсов для реверса Xamarin приложений

Безопасность приложений
⁃ Подборка советов по повышению безопасности React Native приложений
⁃ Подборка советов по повышению безопасности Ionic/Cordova приложений
⁃ Подборка советов по повышению безопасности Flutter приложений

Когда готовился к OSCP, случайно наткнулся на багу в Xamarin, связанную с подменой DLL. Тогда еще удивился, что популярный вектор повышения привилегий на Windows машинах может встретиться и на мобилках.

#offzone2

Как-то так получилось, что мы подружились с Мобиусом, поэтому вот ещё один пост про новый сезон :)

И надеюсь, что на него тоже разыграем билет :)

Mobius возвращается!

В ноябре JUG Ru Group организует конференцию для мобильных разработчиков — Mobius 2022 Autumn. В программе — технические доклады и дискуссии о языках, архитектуре, трендах, платформах, фреймворках и инструментах. На конференции соберутся iOS- и Android-разработчики, архитекторы мобильных приложений, специалисты по DevOps, тестировщики, тимлиды и руководители проектов.

Участники конференции любят обсуждать нетривиальные задачи и новые подходы в мобильной разработке. И если вам есть что сказать, тогда подавайте заявку на выступление. Программный комитет поможет с подготовкой к выступлению: назначит персонального куратора, проведет ревью материала и организует репетиции.

Выбирайте тему выступления на сайте или предлагайте свои идеи — их обязательно рассмотрят.

Всем спикерам JUG Ru Group дарит билет на все конференции сезона в онлайне и офлайне.

А билеты можно купить здесь.

Who got the key?

А вот очередная интересная заметка про ключики и их хранение. На этот раз в фокус экспертов попали ключи от Twitter API.
А сколько ещё таких ключей и сервисов может быть?) думаю, что бескрайнее множество.

Мы тоже у себя готовим интересную статистику по использованию различных ключей и их валидности в приложениях, думаю, через некоторое время подобьем аналитику и анонсируем результаты :)

Исследователи CloudSEK обнаружили 3207 мобильных приложений, которые раскрывают ключи Twitter API.

Нарушение потенциально позволяет злоумышленникам завладеть учетными записями пользователей Twitter для создания в армии ботов и продвижения фейковых новостей, реализации кампаний по распространению вредоносного ПО или других мошеннических действий.

В рамках интеграции мобильных приложений с Twitter разработчикам предоставляются специальные ключи аутентификации или токены, которые позволят взаимодействовать с API Twitter.

Ключи позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, постить твиты, отправлять DM, читать личные сообщения, управлять подписотой, а также настройками аккаунта.

CloudSEK объясняет, что утечка ключей API обычно является результатом ошибок разработчиков, которые встраивают свои ключи аутентификации в API Twitter, но забывают удалить их по окончании разработки, оставляя их, как правило, в resources/res/values/strings.xml, source/resources/res/values-es-rAR/strings.xml, source/resources/res/values-es-rCO/strings.xml или source/sources/com/app-name/BuildConfig.java.

Список всех уязвимых приложений не раскрывается, поскольку большинство их разработчиков спустя месяц еще не подтвердили получение уведомлений CloudSEK. Однако, по данным ресерчеров, среди них есть и имеющие от 50 000 до 5 000 000 загрузок.

Исключением к настоящему моменту стала лишь компания Ford Motors, которая отреагировала и развернула исправление в приложении Ford Events, из-за которого также происходила утечка ключей API Twitter.

Полагаем, что Макс одним из первых ознакомился с результаты исследования, если и вовсе не был соавтором.

Анализ iOS-приложений

Свеженькая статья от Digital Security, а вернее продолжение первой части про подготовку устройства.

Очень годная для начинающих статья, содержащая в себе разбор нескольких наиболее часто встречающихся уязвимостей в iOS приложениях и способе их поиска. Применяются известные и актуальные инструменты для анализа (Grapefruit и Objection), а также чистая frida :)

Очень доступно и понятно написано, спасибо ребятам)

#ios #dsec #frida #objection

И снова шикарный трюк от @bagipro

Продолжая рубрику "советы для bugbounty", теперь про способ обхода ограничений для ContentProvider.openFile().

Вот ссылка на оригинальный пост, но для тех, у кого Твиттер закрыт и нет VPN немного пояснений и описаний.
Суть в том, что использую небольшой трюк можно получить приватную информацию через контент провайдер, если вызвать его не напрямую, а прикинуться шлангом, системным сервисом, которому по умолчанию выдаются любые Permissions.

Атака возможна, если:
1. Контент-провайдер экспортируется
2. Внутри он проверяет вызывающий UID, имя пакета и/или набор разрешений

Таким образом, можно вызвать ContentProvider.openFile() через IActivityManager.openContentUri(). Он проверит права доступа, но затем проксирует вызов из своего контекста, а именно к Binder.getCallingUid() == 1000, и, так как это UID системы, то ей по умолчанию предоставлены все права.

Что тут сказать, аплодирую стоя 👍👍

#android #binder #contentProvider #oversecured

Поговорим о безопасности?

Пригласили поговорить за безопасность кода и различных способах проверки его на всякое разное в части безопасности)

Кому интересно, приходите в четверг послушать и пообщаться, постараюсь не говорить совсем уж банальные вещи и сделать эфир поинтереснее)

Как обещали продолжаем говорить о безопасной разработке в эфирах!

В следующий четверг, 11 августа в 18:00 зовем гостем Юрия Шабалина — ведущего архитектора Swordfish Security, автора канала @mobile_appsec_world и DevSecOps-евангелиста. А компанию составит специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях— Анастасия Худоярова.

Обсудим поиск секретов в коде, поиск уязвимостей и небезопасных конструкций.

До связи :)

Очень годный контент)

Про проверку ключей я тоже немного писал)

#sdlc #apikeys

> хей, подскажите, чем нынче модно искать всякие лики секретов на сайте? для бёрпа или лучше браузера?

Разработчики часто совершают ошибки управления секретами, особенно в незрелом процессе SDLC. В кодовую базу попадают пароли, хардкодятся API-ключи к CI/CD, заносятся учетные данные пользователей. Для того чтобы отслеживать наличие секретов существует ряд утилит:

github.com/eth0izzle/shhgit — отслеживает все коммиты через api GitHub и BitBucket для поиска конфиденциальных данных в режиме реального времени. Однажды нашёл с помощью этой утилиты креды от QA сотрудника Dyson. Как итог удалось скачать сорцы главного сайта и зайти в их Slack. Однако внимательный читатель заметит, что последний коммит был два года назад, верно, автор замутил на основе этого стартап и начал продавать как SaaS.

github.com/zricethezav/gitleaks — инструмент SAST для обнаружения и предотвращения жестко закодированных секретов, таких как пароли, ключи API и токены в репозиториях git. Можно использовать на склонированном репозитории локально.

github.com/hisxo/gitGraber — функциями схож с shhgit, однако есть некий фильтр по компаниям, вообще работает всё это дело так api.github.com/search/code?q=Компания|Yahoo, а затем уже в результатах ищет секреты.

github.com/securing/DumpsterDiver — если предыдущие утилиты искали ключи используя regex, то этот использует метод вычисления энтропии, есть возможность задать порог. Например для Azure Shared ключа порог будет начинаться от 5.1. Из плюсов ищет не только в git, но и в любой папке.

github.com/trufflesecurity/trufflehog — по функционалу ближе всего к gitleaks. Доступен в github actions.

> Хочу искать секреты и вне работы!

Ок, вот тебе Extension TruffleHog под Chromium. Просто гуляя по сайтам, это чудо-расширение будет искать секреты на страницах и выводить alert(apikey) в случаях совпадения. У расширения есть настройки, которые включают автоматические get запросы для файлов .git или .env на сайте.

> И как мне самому узнать, какая утилита лучше всего ищет секреты?

Вот вам файл со специально забытыми api ключами на github.com/sourcegraph-community/no-secrets/blob/main/secret-examples.md

> Нашёл ключ что мне делать?

Тестировать и проверять на действительность используя этот замечательный репозиторий github.com/streaak/keyhacks


> Когда в github добавят нормальный regex?

Уже добавили, вот поиск по всему github используя Regex Facebook key: cs.github.com/?scopeName=All+repos&scope=&q=%2FEAACEdEose0cBA%5B0-9A-Za-z%5D%2B%2F
Но вам придётся запросить у github инвайт в их beta =)

Всем любителям и неравнодушным к StepN Flutter

Всем привет!
Все, кто любит CTF и Flutter - в канале Новости SPbCTF появился CTF Андроид приложения, очень похожего на всеми обожаемый StepN 😄

По факту - нужно разреверсить флаттер приложение и получить флаг)
Ну что, те, кто хотел проходку на OFFZONE, но не успел, могут попробовать свои силы во Flutter!

Подробности в следующем посте.

Хорошей пятницы всем)

👟 #Таск 2022-08-12: Android Reverse (автор: @rozetkinrobot)

Нынче достаточно популярны всякие Play-to-Earn проекты. Ыж решил попытать удачу в одном из таких под названием StepOFF.

Как оказалось, для регистрации нужен инвайт-код, а те, что он смог найти в Discord проекта, уже использованы.

Помогите Ыжу получить заветный доступ к приложению.

Сдавать на борде: tasks.blzh.fr/tasks/friday
🏃‍♂️ Не забывайте, что чем быстрее, тем больше очков!

— vk.com/wall-114366489_2183

Немного спойлеров про стенд Swordfish Security на оффзон!
Стильно и круто у нас будет, заходите на огонёк и ко мне на стенд и к фишам, будет много активностей и мерча :)