Знакомьтесь, динамический анализ приложений или просто DAST.

Всем привет!

В связи с недавними событиями рынок ИБ-инструментов для анализа приложений достаточно сильно "похудел". По своему опыту скажу, что наиболее сильно это ударило по инструментам по анализу Open Source компонент (практика SCA) и по динамическому анализу (всякие Acunetix, Netsparker и прочие DAST-инструменты).

На этой волне, вполне возможно, что будут появляться (я по крайней мере очень на это надеюсь), наши решения, которые закрывают ушедших с нашего рынка игроков и не будут уступать им по качеству. Поэтому я собрал в статью основные правила по выбору инструмента DAST, на что обратить внимание, как встроить в процесс и разные веселые (и не очень) истории из жизни)) Например, когда наш корпоративный WiFi заблочили во время презентации нового сайта ТОП-менеджерам компании :D
Удивительно, как меня потом не уволили)))

Надеюсь это будет полезно тем, кто занимается AppSec и ищет различные инструменты и материалы по теме)

Ну и отдельным пунктом здесь же, хотелось бы анонсировать интересный тул от компании Positive, их динамический сканер) Мы его немного пощупали до бэты и это крайне интресная вещь) Так что, если есть желание посмотреть, чем позитивы нас порадуют в этот раз - подключайтесь на официальный запуск =)

#DAST #Habr #Positive #DevSecOps

А что после OFFZONE?

И после OFFZONE есть жизнь))
Хочу пригласить всех желающих на небольшой вебинар «Безопасность мобильных приложений в текущих реалиях».

Пройдет он во вторник, 30 августа в 14:00 (мск).

Я расскажу, что вообще сейчас происходит с безопасностью мобилок и каких угроз сегодня стоит опасаться больше всего. Обсудим с вами, как защитить данные пользователей и технологии. Поговорим о подходах и инструментах, с помощью которых можно автоматизировать тестирование приложений. Ну а в конце встречи участники получат специальное предложение (это пока секрет))

Постараюсь дать как можно больше практических деталей, ответить на все ваши вопросы и сделать вебинар максимально полезным для вас)

Не забудьте заранее зарегистрироваться по этой ссылке.

Надеюсь, увидеть много знакомых лиц :)

#webinar #stingray

OFFZONE! CTF! Участвуйте и приходите к нам!

Всем привет!
Итак, конференция OFFZONE 2022 официально началась!
У нас свой комьюнити стенд, так что приходите знакомиться!

У нас классные активности, а именно CTF по Android и iOS! Заходите, участвуйте, получайте фан и крутой мерч)

Зарегистрироваться на CTF можно тут:
https://mobile.ctf.appsec.global/

За первые 10 мест обещаем футболки, OffCoin и полный набор мерча!
И конечно, те, кто участвовал в розыгрышах, приходите за обещеннымы подарками)

LETS GO!

#OFFZONE #CTF

Ну и в качестве небольшого подгона)
Стикерпак с мобилками, в лучших традициях жанра)))

Второй день мы с вами!

Всем привет, надеюсь, вы живы после вчерашнего дня конференции =)

Сегодня мы снова с вами и вас ждет не менее интересный день.

В 14-00 проведем "Свою игру", вечером подведем итоги мобильного CTF и наградим победителей футболками, мерчем и, конечно, начислим OffCoin'ы!

Приходите поболтать, посмотреть на демку и просто весело провести время!

#android #iOS #CTF #OFFZONE

Своя игра!

Ребят, все, кто на OFFZONE, около стенда проводим свою игру!

Приходите, посмотреть или поучаствовать :)

Окончание CTF

Друзья! Спасибо всем огромное, кто принимал участие в «Своей Игре» и болел за участников и иногда им помогал :)

Было очень весело и круто!

Ну а мы потихоньку завершаем наш CTF по Android и iOS, осталось совсем немного времени, чтобы пробиться в лидеры!

В 16:00 проведем награждение всех, кто занял призовые места! А именно с первого по двадцатое!

Так что приходите за призами и наградами! :D

Первая десятка участников!

И вторая половина =)

А чтобы было чуть интереснее, мы заморозим скорборд и будет неизвестно, кто победил до самого часа Х (16-00)

5 участников буквально в шаге от победы. Так что, нее упустите свой шанс и скоро мы узнаем тройку призеров!

Спасибо всем огромное за участие!
Действительно, за последние полчаса произошли существенные изменения в турнирной таблице =)

Поздравим наших победителей!

Перенос вебинара.

Всем привет!
С большим сожалением нам пришлось перенести дату проведения вебинара на сентябрь (более точно дату скажу позже).

Я после конфы сильно приболел, так что пришлось немного подвинуться :)

Ну ничего, будет значит больше времени на подготовку и ещё больше классного контента!

Не болейте!

Больше Flutter'a богу Flutter!

Всем привет!
Я наконец-то отошел от конференции, осознал себя, долечился и готов снова поставлять новости и контент по мобилкам, как и раньше. А накопилось его за это время порядком уже, месяц как-никак прошел... 😳

Ну и начнем мы с любимого всеми Flutter, его особенностей, способа анализа и прочего-прочего-прочего. По стопам доклада с OFFZONE (надеюсь, скоро будут и видео), вышла большая статья от @impact_l посвященная особенностям архитектуры, компиляции и, конечно анализу подобных приложений.

Очень подробная и качественная статья полностью раскрывающая нюансы, которые не были упомянуты в докладе из-за ограничений по времени. Так что, надеюсь, утренний кофе сегодня будет намного вкуснее и интереснее, чем обычно. Приятного чтения!

И да, подписывайтесь на канал от автора статьи, он публикует классный контент (и не только по мобилкам)!

С возвращением меня и хорошей недели всем!

#return #flutter #reflutter

Анализ iOS-приложения SignPass, анализ обфускации и обход RASP

Очень интересная статья про подход к анализу приложения, нативный код которого обфусцирован, а само оно имплеменитрует методику RASP, а именно всё, что мы так любим, обнаружение Jailbreak, отладчиков, обнаружение Frida и всё вот это.

Очень подробно и тщательно описаны шаги и действия автора, поиск и обход всех проверок (а их там немало) с примерами кода и ассемблерными вставками.

В общем очень-очень рекомендую ознакомиться всем, кто работает с iOS-приложениями и занимается реверсом и Frida.

#ios #frida #rasp

Вторая часть исследования iOS-приложений под обфускацией

Почитав блог из предыдущей статьи, я нашел у автора вторую часть этой, на самом деле, крайне полезной статьи.

Вдохновившись анализом и защитой SignPass, автор нашел еще одно приложение, которое было пропущено через тот же обфускатор, но включало в себя намного более строгие проверки в рантайме.

Что мне понравилось, это способ "защиты" от анализа crash-лога приложения, когда оно падает или аварийно завершается при обнаружении Frida или jailbreak. А именно, перед завершением работы обфускатор затирает некоторые регистры, например LR. А в твуом формате iOS-служба для анализа сбоев не может правильно построить стек вызовов функций, которые привели к сбою. Очень занятно, так как из crash-лога можно было бы получить нужную информацию.о том, где происходят проверки.

Как и в первой статье, подробно расписано, как и что автор делал, чтобы найти точки в приложении, где реализована защита, как он ее обходил и как именно это приложение было защищено.

Ну и конечно, в статье много хороших отсылок на другие полезные статьи. Некоторые из них, если вам лень с утра пораньше открывать и читать статью:

- Deobfuscation: recovering an OLLVM-protected program
- Automated Detection of Control-flow Flattening
- D810: A journey into control flow unflattening

В общем, настоятельно рекомендую ознакомиться всем, кто занимается iOS и реверсом, крайне полезная штука.

#ios #reverse #rasp #frida #obfuscation