Подборка Android CTF
Ну и в догонку, подборка “две миски риса и мобильный CTF” 😅
На самом деле, подборка Android CTF с различных мероприятий и активностей. Сам репозиторийина китайском, но понять, я думаю несложно (спасибо переводчикам).
И очень надеюсь, что пустой раздел iOS очень скоро наполнится хотя бы несколькими CTF :))
Enjoy!
#CTF #android #mobile
Ну и в догонку, подборка “две миски риса и мобильный CTF” 😅
На самом деле, подборка Android CTF с различных мероприятий и активностей. Сам репозиторийина китайском, но понять, я думаю несложно (спасибо переводчикам).
И очень надеюсь, что пустой раздел iOS очень скоро наполнится хотя бы несколькими CTF :))
Enjoy!
#CTF #android #mobile
GitHub
GitHub - r0ysue/MobileCTF: 体系化、实战化、step by step、目标清晰且具体的一个打怪升级、成长路径规划图
体系化、实战化、step by step、目标清晰且具体的一个打怪升级、成长路径规划图. Contribute to r0ysue/MobileCTF development by creating an account on GitHub.
Знакомство с Frida.
Ну а для тех, кто не понимает, зачем нужна Frida и как на ней вообще можно что-то писать, есть очень простая и подробная статья, которая поможет на не сложном примере написать свой первый скрипт на Frida и обойти проверку в приложении.
На самом деле очень хороший материал для старта, где понятно расписано для чего использовать этот инструмент, как его установить и т.д.
Так что, для всех новичков, добро пожаловать в миркостылей, боли, JS, увлекательной работы с Frida!
#frida #android #ctf #start
Ну а для тех, кто не понимает, зачем нужна Frida и как на ней вообще можно что-то писать, есть очень простая и подробная статья, которая поможет на не сложном примере написать свой первый скрипт на Frida и обойти проверку в приложении.
На самом деле очень хороший материал для старта, где понятно расписано для чего использовать этот инструмент, как его установить и т.д.
Так что, для всех новичков, добро пожаловать в мир
#frida #android #ctf #start
Cognisys Labs
Writing your first Frida script for Android
Overview
Как на самом деле магазины приложений проверяют ваше приложение на уязвимости перед публикацией.
Всем привет!
Не могу не поделиться, хоть и из отпуска, нашим исследованием.
Как вы помните, на OFFZONE мы проводили CTF, в котором было представлено приложение с реальными уязвимостями. Тогда я обещал, что мы о нем еще поговорим. Время пришло 🙂
Мы загрузили наше уязвимое приложение во все популярные магазины, наблюдали за процессом их публикации и тому, какие проверки наше приложение проходило.
Исследование призвано ответить на несколько вопросов. Первый - это доказать, что надеется на проверку сторов при публикации и замещать этим аудиты безопасности приложений и средства по анализу защищенности нельзя.
Второй - выяснить, насколько магазины приложений выполняют свои обещания по проверке приложений на безопасность.
Сразу скажу, что к тем сторам, где нет ни слова об анализе приложений на безопасность, вопросов никаких и нет. Однако к тем, которые эту проверку обещают, есть большой вопрос.
Исследование касалось именно проверки на уязвимости и недостатки в приложении, но никак не проверке на вирусы, рекламу и прочее, что любой уважающий себя магазин и так делает.
Статья выше разделена на две части:
- Первая рассказывает о нашем приложении, как оно устроено, какие проблемы мы в него закладывали, к чему они могут привести. Давно планировали это написать, но решили совместить, так что всем, кто решал наш CTF и хотел посмотреть, что было еще, добро пожаловать!
- Вторая часть касается уже непосредственно анализу проверок магазинами, что они обещают и как это выглядит на самом деле. С датами заявки, проверок и публикаций.
Выводы делайте сами, но на мой взгляд, все достаточно просто, нельзя доверять проверку своего приложения на безопасность магазинам приложений, чтобы они не обещали.
И если когда-то вам скажут о том, что аудит не нужен, так как есть проверки на стороне магазинов, просто покажите им эту статью.
Лайки, репосты и прочие активности очень приветствуются!
Ну а я дальше отдыхать 🌴🏝️
#research #android #googleplay #ctf
Всем привет!
Не могу не поделиться, хоть и из отпуска, нашим исследованием.
Как вы помните, на OFFZONE мы проводили CTF, в котором было представлено приложение с реальными уязвимостями. Тогда я обещал, что мы о нем еще поговорим. Время пришло 🙂
Мы загрузили наше уязвимое приложение во все популярные магазины, наблюдали за процессом их публикации и тому, какие проверки наше приложение проходило.
Исследование призвано ответить на несколько вопросов. Первый - это доказать, что надеется на проверку сторов при публикации и замещать этим аудиты безопасности приложений и средства по анализу защищенности нельзя.
Второй - выяснить, насколько магазины приложений выполняют свои обещания по проверке приложений на безопасность.
Сразу скажу, что к тем сторам, где нет ни слова об анализе приложений на безопасность, вопросов никаких и нет. Однако к тем, которые эту проверку обещают, есть большой вопрос.
Исследование касалось именно проверки на уязвимости и недостатки в приложении, но никак не проверке на вирусы, рекламу и прочее, что любой уважающий себя магазин и так делает.
Статья выше разделена на две части:
- Первая рассказывает о нашем приложении, как оно устроено, какие проблемы мы в него закладывали, к чему они могут привести. Давно планировали это написать, но решили совместить, так что всем, кто решал наш CTF и хотел посмотреть, что было еще, добро пожаловать!
- Вторая часть касается уже непосредственно анализу проверок магазинами, что они обещают и как это выглядит на самом деле. С датами заявки, проверок и публикаций.
Выводы делайте сами, но на мой взгляд, все достаточно просто, нельзя доверять проверку своего приложения на безопасность магазинам приложений, чтобы они не обещали.
И если когда-то вам скажут о том, что аудит не нужен, так как есть проверки на стороне магазинов, просто покажите им эту статью.
Лайки, репосты и прочие активности очень приветствуются!
Ну а я дальше отдыхать 🌴🏝️
#research #android #googleplay #ctf
Хабр
Разрушители легенд: Как на самом деле магазины проверяют приложения на уязвимости
Intro Всем привет! Снова с вами Юрий Шабалин. Уже много лет я занимаюсь безопасностью мобильных приложений и в своих исследованиях доношу важность этого направления для бизнеса. В одной из прошлых...
Статья для начинающих свой путь в Android
Всем привет!
Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.
В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox
В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.
Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.
Добро пожаловать в мир безопасности мобилок»
#android #frida #ctf #burp
Всем привет!
Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.
В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox
В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.
Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.
Добро пожаловать в мир безопасности мобилок»
#android #frida #ctf #burp
Итак, CTF!
Как вы помните, в прошлом году мы специально разработали максимально уязвимое приложение и загрузили его во все магазины приложений!
Вы его качественно разломали и мы потратили немало денег на BugBounty!
В этом году мы учли опыт прошлого года и теперь наши «Безопасные заметки» точно супер безопасные! Мы много читали, поумнели (надеюсь), защитили свое приложение и в этом году представляем вам новую версию! Теперь вы его точно не сломаете! Конечно, мы ничего не исправляли, зато применили сложные механизмы защиты!
Теперь, правда она представлена в виде классического CTF с флагами формата flag{some_value}.
Попробуйте найти хотя бы три!
Зарегистрироваться на CTF можно по адресу
https://offzone.ctf.swordfish-academy.ru/
Это совместный CTF, так что внутри есть еще и флаги на Web!
Участвуйте, регистрируйтесь, присоединяйтесь!
Новости будут тут, но оперативная информация в нашем канале “Security Champions”!
#CTF #Android
Как вы помните, в прошлом году мы специально разработали максимально уязвимое приложение и загрузили его во все магазины приложений!
Вы его качественно разломали и мы потратили немало денег на BugBounty!
В этом году мы учли опыт прошлого года и теперь наши «Безопасные заметки» точно супер безопасные! Мы много читали, поумнели (надеюсь), защитили свое приложение и в этом году представляем вам новую версию! Теперь вы его точно не сломаете! Конечно, мы ничего не исправляли, зато применили сложные механизмы защиты!
Теперь, правда она представлена в виде классического CTF с флагами формата flag{some_value}.
Попробуйте найти хотя бы три!
Зарегистрироваться на CTF можно по адресу
https://offzone.ctf.swordfish-academy.ru/
Это совместный CTF, так что внутри есть еще и флаги на Web!
Участвуйте, регистрируйтесь, присоединяйтесь!
Новости будут тут, но оперативная информация в нашем канале “Security Champions”!
#CTF #Android
Telegram
Swordfish Security
Помогаем компаниям выстраивать качественный и эффективный процесс безопасной разработки
Наши сервисы: swordfish-security.ru
Хабр: habr.com/ru/companies/swordfish_security/
Вопросы: info@swordfishsecurity.ru
Наши сервисы: swordfish-security.ru
Хабр: habr.com/ru/companies/swordfish_security/
Вопросы: info@swordfishsecurity.ru
Для начинающих в iOS
Все мы когда-то начинали свой путь и все проходили различные уязвимые приложения, чтобы понять, как это вообще, анализировать мобильные приложения, какие проблемы бывают и какие инструменты использовать.
Для iOS наиболее популярными приложениями являются DVIAv2 и iGoat.
И вот небольшой гайд по решению задач в приложении iGoat. Чем он может быть полезен? Как минимум тем, что дает базовое представление об используемых инструментах, техниках и проблемах для iOS-приложений. Повторив то, чтоинаписано в статье можно как минимум часть нужного и полезного софта поставить к себе и более того, попробовать им воспользоваться.
Ну а повторение этих действий на своих приложениях может привести к очень интересным находкам :)
#iOS #challenge #ctf #iGoat
Все мы когда-то начинали свой путь и все проходили различные уязвимые приложения, чтобы понять, как это вообще, анализировать мобильные приложения, какие проблемы бывают и какие инструменты использовать.
Для iOS наиболее популярными приложениями являются DVIAv2 и iGoat.
И вот небольшой гайд по решению задач в приложении iGoat. Чем он может быть полезен? Как минимум тем, что дает базовое представление об используемых инструментах, техниках и проблемах для iOS-приложений. Повторив то, чтоинаписано в статье можно как минимум часть нужного и полезного софта поставить к себе и более того, попробовать им воспользоваться.
Ну а повторение этих действий на своих приложениях может привести к очень интересным находкам :)
#iOS #challenge #ctf #iGoat