А вот и шикарная подборка статей и материалов от победителя!
Forwarded from Alexander Khamitov
Не так давно составлял подборку статей по анализу и безопасности кросс-платформенных приложений. Ресурсов очень мало, в особенности, если оставить за рамками хайповый Flutter.
Анализ приложений
⁃ Статья про исследование React Native приложений ( + обзор JS движка Hermes и утилиты для его анализа)
⁃ Статья про исследование и патчинг Xamarin приложений
⁃ Подборка полезных ресурсов для реверса Xamarin приложений
Безопасность приложений
⁃ Подборка советов по повышению безопасности React Native приложений
⁃ Подборка советов по повышению безопасности Ionic/Cordova приложений
⁃ Подборка советов по повышению безопасности Flutter приложений
Когда готовился к OSCP, случайно наткнулся на багу в Xamarin, связанную с подменой DLL. Тогда еще удивился, что популярный вектор повышения привилегий на Windows машинах может встретиться и на мобилках.
#offzone2
Анализ приложений
⁃ Статья про исследование React Native приложений ( + обзор JS движка Hermes и утилиты для его анализа)
⁃ Статья про исследование и патчинг Xamarin приложений
⁃ Подборка полезных ресурсов для реверса Xamarin приложений
Безопасность приложений
⁃ Подборка советов по повышению безопасности React Native приложений
⁃ Подборка советов по повышению безопасности Ionic/Cordova приложений
⁃ Подборка советов по повышению безопасности Flutter приложений
Когда готовился к OSCP, случайно наткнулся на багу в Xamarin, связанную с подменой DLL. Тогда еще удивился, что популярный вектор повышения привилегий на Windows машинах может встретиться и на мобилках.
#offzone2
Как-то так получилось, что мы подружились с Мобиусом, поэтому вот ещё один пост про новый сезон :)
И надеюсь, что на него тоже разыграем билет :)
И надеюсь, что на него тоже разыграем билет :)
Forwarded from Аня
Mobius возвращается!
В ноябре JUG Ru Group организует конференцию для мобильных разработчиков — Mobius 2022 Autumn. В программе — технические доклады и дискуссии о языках, архитектуре, трендах, платформах, фреймворках и инструментах. На конференции соберутся iOS- и Android-разработчики, архитекторы мобильных приложений, специалисты по DevOps, тестировщики, тимлиды и руководители проектов.
Участники конференции любят обсуждать нетривиальные задачи и новые подходы в мобильной разработке. И если вам есть что сказать, тогда подавайте заявку на выступление. Программный комитет поможет с подготовкой к выступлению: назначит персонального куратора, проведет ревью материала и организует репетиции.
Выбирайте тему выступления на сайте или предлагайте свои идеи — их обязательно рассмотрят.
Всем спикерам JUG Ru Group дарит билет на все конференции сезона в онлайне и офлайне.
А билеты можно купить здесь.
В ноябре JUG Ru Group организует конференцию для мобильных разработчиков — Mobius 2022 Autumn. В программе — технические доклады и дискуссии о языках, архитектуре, трендах, платформах, фреймворках и инструментах. На конференции соберутся iOS- и Android-разработчики, архитекторы мобильных приложений, специалисты по DevOps, тестировщики, тимлиды и руководители проектов.
Участники конференции любят обсуждать нетривиальные задачи и новые подходы в мобильной разработке. И если вам есть что сказать, тогда подавайте заявку на выступление. Программный комитет поможет с подготовкой к выступлению: назначит персонального куратора, проведет ревью материала и организует репетиции.
Выбирайте тему выступления на сайте или предлагайте свои идеи — их обязательно рассмотрят.
Всем спикерам JUG Ru Group дарит билет на все конференции сезона в онлайне и офлайне.
А билеты можно купить здесь.
👍2
Who got the key?
А вот очередная интересная заметка про ключики и их хранение. На этот раз в фокус экспертов попали ключи от Twitter API.
А сколько ещё таких ключей и сервисов может быть?) думаю, что бескрайнее множество.
Мы тоже у себя готовим интересную статистику по использованию различных ключей и их валидности в приложениях, думаю, через некоторое время подобьем аналитику и анонсируем результаты :)
А вот очередная интересная заметка про ключики и их хранение. На этот раз в фокус экспертов попали ключи от Twitter API.
А сколько ещё таких ключей и сервисов может быть?) думаю, что бескрайнее множество.
Мы тоже у себя готовим интересную статистику по использованию различных ключей и их валидности в приложениях, думаю, через некоторое время подобьем аналитику и анонсируем результаты :)
Forwarded from SecAtor
Исследователи CloudSEK обнаружили 3207 мобильных приложений, которые раскрывают ключи Twitter API.
Нарушение потенциально позволяет злоумышленникам завладеть учетными записями пользователей Twitter для создания в армии ботов и продвижения фейковых новостей, реализации кампаний по распространению вредоносного ПО или других мошеннических действий.
В рамках интеграции мобильных приложений с Twitter разработчикам предоставляются специальные ключи аутентификации или токены, которые позволят взаимодействовать с API Twitter.
Ключи позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, постить твиты, отправлять DM, читать личные сообщения, управлять подписотой, а также настройками аккаунта.
CloudSEK объясняет, что утечка ключей API обычно является результатом ошибок разработчиков, которые встраивают свои ключи аутентификации в API Twitter, но забывают удалить их по окончании разработки, оставляя их, как правило, в resources/res/values/strings.xml, source/resources/res/values-es-rAR/strings.xml, source/resources/res/values-es-rCO/strings.xml или source/sources/com/app-name/BuildConfig.java.
Список всех уязвимых приложений не раскрывается, поскольку большинство их разработчиков спустя месяц еще не подтвердили получение уведомлений CloudSEK. Однако, по данным ресерчеров, среди них есть и имеющие от 50 000 до 5 000 000 загрузок.
Исключением к настоящему моменту стала лишь компания Ford Motors, которая отреагировала и развернула исправление в приложении Ford Events, из-за которого также происходила утечка ключей API Twitter.
Полагаем, что Макс одним из первых ознакомился с результаты исследования, если и вовсе не был соавтором.
Нарушение потенциально позволяет злоумышленникам завладеть учетными записями пользователей Twitter для создания в армии ботов и продвижения фейковых новостей, реализации кампаний по распространению вредоносного ПО или других мошеннических действий.
В рамках интеграции мобильных приложений с Twitter разработчикам предоставляются специальные ключи аутентификации или токены, которые позволят взаимодействовать с API Twitter.
Ключи позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, постить твиты, отправлять DM, читать личные сообщения, управлять подписотой, а также настройками аккаунта.
CloudSEK объясняет, что утечка ключей API обычно является результатом ошибок разработчиков, которые встраивают свои ключи аутентификации в API Twitter, но забывают удалить их по окончании разработки, оставляя их, как правило, в resources/res/values/strings.xml, source/resources/res/values-es-rAR/strings.xml, source/resources/res/values-es-rCO/strings.xml или source/sources/com/app-name/BuildConfig.java.
Список всех уязвимых приложений не раскрывается, поскольку большинство их разработчиков спустя месяц еще не подтвердили получение уведомлений CloudSEK. Однако, по данным ресерчеров, среди них есть и имеющие от 50 000 до 5 000 000 загрузок.
Исключением к настоящему моменту стала лишь компания Ford Motors, которая отреагировала и развернула исправление в приложении Ford Events, из-за которого также происходила утечка ключей API Twitter.
Полагаем, что Макс одним из первых ознакомился с результаты исследования, если и вовсе не был соавтором.
Cloudsek
How Leaked Twitter API Keys Can be Used to Build a Bot Army | CloudSEK
Download report on CloudSEK’s Attack Surface Monitoring Platform, uncovered 3207 apps, leaking Twitter API keys, that can be utilized to gain access to or to take over Twitter accounts.
👍4
Анализ iOS-приложений
Свеженькая статья от Digital Security, а вернее продолжение первой части про подготовку устройства.
Очень годная для начинающих статья, содержащая в себе разбор нескольких наиболее часто встречающихся уязвимостей в iOS приложениях и способе их поиска. Применяются известные и актуальные инструменты для анализа (Grapefruit и Objection), а также чистая frida :)
Очень доступно и понятно написано, спасибо ребятам)
#ios #dsec #frida #objection
Свеженькая статья от Digital Security, а вернее продолжение первой части про подготовку устройства.
Очень годная для начинающих статья, содержащая в себе разбор нескольких наиболее часто встречающихся уязвимостей в iOS приложениях и способе их поиска. Применяются известные и актуальные инструменты для анализа (Grapefruit и Objection), а также чистая frida :)
Очень доступно и понятно написано, спасибо ребятам)
#ios #dsec #frida #objection
Хабр
Анализ iOS-приложений
Продолжаем цикл статей про аудит iOS-приложений. В этой статье расскажем непосредственно о самом анализе и как пользоваться инструментами из прошлой статьи . Мы хотим показать начинающим...
🔥5👍3
И снова шикарный трюк от @bagipro
Продолжая рубрику "советы для bugbounty", теперь про способ обхода ограничений для
Вот ссылка на оригинальный пост, но для тех, у кого Твиттер закрыт и нет VPN немного пояснений и описаний.
Суть в том, что использую небольшой трюк можно получить приватную информацию через контент провайдер, если вызвать его не напрямую, априкинуться шлангом, системным сервисом, которому по умолчанию выдаются любые Permissions.
Атака возможна, если:
1. Контент-провайдер экспортируется
2. Внутри он проверяет вызывающий UID, имя пакета и/или набор разрешений
Таким образом, можно вызвать
Что тут сказать, аплодирую стоя 👍👍
#android #binder #contentProvider #oversecured
Продолжая рубрику "советы для bugbounty", теперь про способ обхода ограничений для
ContentProvider.openFile()
.Вот ссылка на оригинальный пост, но для тех, у кого Твиттер закрыт и нет VPN немного пояснений и описаний.
Суть в том, что использую небольшой трюк можно получить приватную информацию через контент провайдер, если вызвать его не напрямую, а
Атака возможна, если:
1. Контент-провайдер экспортируется
2. Внутри он проверяет вызывающий UID, имя пакета и/или набор разрешений
Таким образом, можно вызвать
ContentProvider.openFile()
через IActivityManager.openContentUri()
. Он проверит права доступа, но затем проксирует вызов из своего контекста, а именно к Binder.getCallingUid() == 1000
, и, так как это UID системы, то ей по умолчанию предоставлены все права.Что тут сказать, аплодирую стоя 👍👍
#android #binder #contentProvider #oversecured
X (formerly Twitter)
Sergey Toshin (@_bagipro) on X
Bypassing ContentProvider.openFile() internal security checks in Android
[1/3]
I've discovered an interesting trick that you may use to access private information using a content provider
[1/3]
I've discovered an interesting trick that you may use to access private information using a content provider
👍8🔥2
Поговорим о безопасности?
Пригласили поговорить за безопасность кода и различных способах проверки его на всякое разное в части безопасности)
Кому интересно, приходите в четверг послушать и пообщаться, постараюсь не говорить совсем уж банальные вещи и сделать эфир поинтереснее)
Пригласили поговорить за безопасность кода и различных способах проверки его на всякое разное в части безопасности)
Кому интересно, приходите в четверг послушать и пообщаться, постараюсь не говорить совсем уж банальные вещи и сделать эфир поинтереснее)
Forwarded from Just Security
Как обещали продолжаем говорить о безопасной разработке в эфирах!
В следующий четверг, 11 августа в 18:00 зовем гостем Юрия Шабалина — ведущего архитектора Swordfish Security, автора канала @mobile_appsec_world и DevSecOps-евангелиста. А компанию составит специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях— Анастасия Худоярова.
Обсудим поиск секретов в коде, поиск уязвимостей и небезопасных конструкций.
До связи :)
В следующий четверг, 11 августа в 18:00 зовем гостем Юрия Шабалина — ведущего архитектора Swordfish Security, автора канала @mobile_appsec_world и DevSecOps-евангелиста. А компанию составит специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях— Анастасия Худоярова.
Обсудим поиск секретов в коде, поиск уязвимостей и небезопасных конструкций.
До связи :)
🔥7
Очень годный контент)
Про проверку ключей я тоже немного писал)
Про проверку ключей я тоже немного писал)
Forwarded from Пост Импакта
#sdlc #apikeys
> хей, подскажите, чем нынче модно искать всякие лики секретов на сайте? для бёрпа или лучше браузера?
Разработчики часто совершают ошибки управления секретами, особенно в незрелом процессе SDLC. В кодовую базу попадают пароли, хардкодятся API-ключи к CI/CD, заносятся учетные данные пользователей. Для того чтобы отслеживать наличие секретов существует ряд утилит:
github.com/eth0izzle/shhgit — отслеживает все коммиты через api GitHub и BitBucket для поиска конфиденциальных данных в режиме реального времени. Однажды нашёл с помощью этой утилиты креды от QA сотрудника Dyson. Как итог удалось скачать сорцы главного сайта и зайти в их Slack. Однако внимательный читатель заметит, что последний коммит был два года назад, верно, автор замутил на основе этого стартап и начал продавать как SaaS.
github.com/zricethezav/gitleaks — инструмент SAST для обнаружения и предотвращения жестко закодированных секретов, таких как пароли, ключи API и токены в репозиториях git. Можно использовать на склонированном репозитории локально.
github.com/hisxo/gitGraber — функциями схож с shhgit, однако есть некий фильтр по компаниям, вообще работает всё это дело так api.github.com/search/code?q=Компания|Yahoo, а затем уже в результатах ищет секреты.
github.com/securing/DumpsterDiver — если предыдущие утилиты искали ключи используя regex, то этот использует метод вычисления энтропии, есть возможность задать порог. Например для Azure Shared ключа порог будет начинаться от 5.1. Из плюсов ищет не только в git, но и в любой папке.
github.com/trufflesecurity/trufflehog — по функционалу ближе всего к gitleaks. Доступен в github actions.
> Хочу искать секреты и вне работы!
Ок, вот тебе Extension TruffleHog под Chromium. Просто гуляя по сайтам, это чудо-расширение будет искать секреты на страницах и выводить
> И как мне самому узнать, какая утилита лучше всего ищет секреты?
Вот вам файл со специально забытыми api ключами на github.com/sourcegraph-community/no-secrets/blob/main/secret-examples.md
> Нашёл ключ что мне делать?
Тестировать и проверять на действительность используя этот замечательный репозиторий github.com/streaak/keyhacks
> Когда в github добавят нормальный regex?
Уже добавили, вот поиск по всему github используя Regex Facebook key: cs.github.com/?scopeName=All+repos&scope=&q=%2FEAACEdEose0cBA%5B0-9A-Za-z%5D%2B%2F
Но вам придётся запросить у github инвайт в их beta =)
> хей, подскажите, чем нынче модно искать всякие лики секретов на сайте? для бёрпа или лучше браузера?
Разработчики часто совершают ошибки управления секретами, особенно в незрелом процессе SDLC. В кодовую базу попадают пароли, хардкодятся API-ключи к CI/CD, заносятся учетные данные пользователей. Для того чтобы отслеживать наличие секретов существует ряд утилит:
github.com/eth0izzle/shhgit — отслеживает все коммиты через api GitHub и BitBucket для поиска конфиденциальных данных в режиме реального времени. Однажды нашёл с помощью этой утилиты креды от QA сотрудника Dyson. Как итог удалось скачать сорцы главного сайта и зайти в их Slack. Однако внимательный читатель заметит, что последний коммит был два года назад, верно, автор замутил на основе этого стартап и начал продавать как SaaS.
github.com/zricethezav/gitleaks — инструмент SAST для обнаружения и предотвращения жестко закодированных секретов, таких как пароли, ключи API и токены в репозиториях git. Можно использовать на склонированном репозитории локально.
github.com/hisxo/gitGraber — функциями схож с shhgit, однако есть некий фильтр по компаниям, вообще работает всё это дело так api.github.com/search/code?q=Компания|Yahoo, а затем уже в результатах ищет секреты.
github.com/securing/DumpsterDiver — если предыдущие утилиты искали ключи используя regex, то этот использует метод вычисления энтропии, есть возможность задать порог. Например для Azure Shared ключа порог будет начинаться от 5.1. Из плюсов ищет не только в git, но и в любой папке.
github.com/trufflesecurity/trufflehog — по функционалу ближе всего к gitleaks. Доступен в github actions.
> Хочу искать секреты и вне работы!
Ок, вот тебе Extension TruffleHog под Chromium. Просто гуляя по сайтам, это чудо-расширение будет искать секреты на страницах и выводить
alert(apikey)
в случаях совпадения. У расширения есть настройки, которые включают автоматические get запросы для файлов .git или .env на сайте.> И как мне самому узнать, какая утилита лучше всего ищет секреты?
Вот вам файл со специально забытыми api ключами на github.com/sourcegraph-community/no-secrets/blob/main/secret-examples.md
> Нашёл ключ что мне делать?
Тестировать и проверять на действительность используя этот замечательный репозиторий github.com/streaak/keyhacks
> Когда в github добавят нормальный regex?
Уже добавили, вот поиск по всему github используя Regex Facebook key: cs.github.com/?scopeName=All+repos&scope=&q=%2FEAACEdEose0cBA%5B0-9A-Za-z%5D%2B%2F
Но вам придётся запросить у github инвайт в их beta =)
🔥6
Всем любителям и неравнодушным к StepN Flutter
Всем привет!
Все, кто любит CTF и Flutter - в канале Новости SPbCTF появился CTF Андроид приложения, очень похожего на всеми обожаемый StepN 😄
По факту - нужно разреверсить флаттер приложение и получить флаг)
Ну что, те, кто хотел проходку на OFFZONE, но не успел, могут попробовать свои силы во Flutter!
Подробности в следующем посте.
Хорошей пятницы всем)
Всем привет!
Все, кто любит CTF и Flutter - в канале Новости SPbCTF появился CTF Андроид приложения, очень похожего на всеми обожаемый StepN 😄
По факту - нужно разреверсить флаттер приложение и получить флаг)
Ну что, те, кто хотел проходку на OFFZONE, но не успел, могут попробовать свои силы во Flutter!
Подробности в следующем посте.
Хорошей пятницы всем)
😁2
Forwarded from Новости SPbCTF (Vlad Roskov)
This media is not supported in your browser
VIEW IN TELEGRAM
👟 #Таск 2022-08-12: Android Reverse (автор: @rozetkinrobot)
Нынче достаточно популярны всякие Play-to-Earn проекты. Ыж решил попытать удачу в одном из таких под названием StepOFF.
Как оказалось, для регистрации нужен инвайт-код, а те, что он смог найти в Discord проекта, уже использованы.
Помогите Ыжу получить заветный доступ к приложению.
Сдавать на борде: tasks.blzh.fr/tasks/friday
🏃♂️ Не забывайте, что чем быстрее, тем больше очков!
— vk.com/wall-114366489_2183
Нынче достаточно популярны всякие Play-to-Earn проекты. Ыж решил попытать удачу в одном из таких под названием StepOFF.
Как оказалось, для регистрации нужен инвайт-код, а те, что он смог найти в Discord проекта, уже использованы.
Помогите Ыжу получить заветный доступ к приложению.
Сдавать на борде: tasks.blzh.fr/tasks/friday
🏃♂️ Не забывайте, что чем быстрее, тем больше очков!
— vk.com/wall-114366489_2183
👍2
Немного спойлеров про стенд Swordfish Security на оффзон!
Стильно и круто у нас будет, заходите на огонёк и ко мне на стенд и к фишам, будет много активностей и мерча :)
Стильно и круто у нас будет, заходите на огонёк и ко мне на стенд и к фишам, будет много активностей и мерча :)
🔥6
Forwarded from OFFZONE
Наш партнер и соорганизатор AppSec.Zone — Swordfish Security — вовсю готовится к OFFZONE.
Вас ждет стильный стенд и CTF для любителей веба.
А еще маскот Swordfish — Security Champion — поможет вам в небольшой фан-активности от нас.
Подробности вы узнаете на конференции, а пока небольшой спойлер: образ маскота вдохновлен эстетикой киберпанка.
Ищите на OFFZONE!
Вас ждет стильный стенд и CTF для любителей веба.
А еще маскот Swordfish — Security Champion — поможет вам в небольшой фан-активности от нас.
Подробности вы узнаете на конференции, а пока небольшой спойлер: образ маскота вдохновлен эстетикой киберпанка.
Ищите на OFFZONE!
👍7🔥2
Новости SPbCTF
👟 #Таск 2022-08-12: Android Reverse (автор: @rozetkinrobot) Нынче достаточно популярны всякие Play-to-Earn проекты. Ыж решил попытать удачу в одном из таких под названием StepOFF. Как оказалось, для регистрации нужен инвайт-код, а те, что он смог найти в…
Решение задачи с Flutter
А вот и решение этого таска, кому интересно.
В видео рассказывают про то, как можно было решить задание и в целом, что можно сделать с флаттером, как его анализировать, что смотреть и прочие интересные вещи. Тут нам и reFlutter (❤️) и статья по реверсу от GuardSquare пригодилась и вообще неплохая демо анализа подобных приложений.
Советую всем, кто начинает знакомиться с анализом кроссплатформ и любитStepn Flutter 😁
#flutter #ctf
А вот и решение этого таска, кому интересно.
В видео рассказывают про то, как можно было решить задание и в целом, что можно сделать с флаттером, как его анализировать, что смотреть и прочие интересные вещи. Тут нам и reFlutter (❤️) и статья по реверсу от GuardSquare пригодилась и вообще неплохая демо анализа подобных приложений.
Советую всем, кто начинает знакомиться с анализом кроссплатформ и любит
#flutter #ctf
YouTube
Разбор Ыжедневных тасков и розыгрыш мерча
Участники и авторы Ыжедневных тасков рассказали, как всё решалось. В конце разыгрываем мерч среди участников.
Задания на https://tasks.blzh.fr/tasks
0:00 Заставка
0:37 Начало
2:06 Разбор Web (Злобный хейтер Ыжа), Александр Миронов
12:10 Разбор Forensics…
Задания на https://tasks.blzh.fr/tasks
0:00 Заставка
0:37 Начало
2:06 Разбор Web (Злобный хейтер Ыжа), Александр Миронов
12:10 Разбор Forensics…
🔥6