Подборка Android CTF
Ну и в догонку, подборка “две миски риса и мобильный CTF” 😅
На самом деле, подборка Android CTF с различных мероприятий и активностей. Сам репозиторийина китайском, но понять, я думаю несложно (спасибо переводчикам).
И очень надеюсь, что пустой раздел iOS очень скоро наполнится хотя бы несколькими CTF :))
Enjoy!
#CTF #android #mobile
Ну и в догонку, подборка “две миски риса и мобильный CTF” 😅
На самом деле, подборка Android CTF с различных мероприятий и активностей. Сам репозиторийина китайском, но понять, я думаю несложно (спасибо переводчикам).
И очень надеюсь, что пустой раздел iOS очень скоро наполнится хотя бы несколькими CTF :))
Enjoy!
#CTF #android #mobile
GitHub
GitHub - r0ysue/MobileCTF: 体系化、实战化、step by step、目标清晰且具体的一个打怪升级、成长路径规划图
体系化、实战化、step by step、目标清晰且具体的一个打怪升级、成长路径规划图. Contribute to r0ysue/MobileCTF development by creating an account on GitHub.
🔥7👍2
Знакомство с Frida.
Ну а для тех, кто не понимает, зачем нужна Frida и как на ней вообще можно что-то писать, есть очень простая и подробная статья, которая поможет на не сложном примере написать свой первый скрипт на Frida и обойти проверку в приложении.
На самом деле очень хороший материал для старта, где понятно расписано для чего использовать этот инструмент, как его установить и т.д.
Так что, для всех новичков, добро пожаловать в миркостылей, боли, JS, увлекательной работы с Frida!
#frida #android #ctf #start
Ну а для тех, кто не понимает, зачем нужна Frida и как на ней вообще можно что-то писать, есть очень простая и подробная статья, которая поможет на не сложном примере написать свой первый скрипт на Frida и обойти проверку в приложении.
На самом деле очень хороший материал для старта, где понятно расписано для чего использовать этот инструмент, как его установить и т.д.
Так что, для всех новичков, добро пожаловать в мир
#frida #android #ctf #start
Cognisys Labs
Writing your first Frida script for Android
Overview
👍11❤3🔥2
Как на самом деле магазины приложений проверяют ваше приложение на уязвимости перед публикацией.
Всем привет!
Не могу не поделиться, хоть и из отпуска, нашим исследованием.
Как вы помните, на OFFZONE мы проводили CTF, в котором было представлено приложение с реальными уязвимостями. Тогда я обещал, что мы о нем еще поговорим. Время пришло 🙂
Мы загрузили наше уязвимое приложение во все популярные магазины, наблюдали за процессом их публикации и тому, какие проверки наше приложение проходило.
Исследование призвано ответить на несколько вопросов. Первый - это доказать, что надеется на проверку сторов при публикации и замещать этим аудиты безопасности приложений и средства по анализу защищенности нельзя.
Второй - выяснить, насколько магазины приложений выполняют свои обещания по проверке приложений на безопасность.
Сразу скажу, что к тем сторам, где нет ни слова об анализе приложений на безопасность, вопросов никаких и нет. Однако к тем, которые эту проверку обещают, есть большой вопрос.
Исследование касалось именно проверки на уязвимости и недостатки в приложении, но никак не проверке на вирусы, рекламу и прочее, что любой уважающий себя магазин и так делает.
Статья выше разделена на две части:
- Первая рассказывает о нашем приложении, как оно устроено, какие проблемы мы в него закладывали, к чему они могут привести. Давно планировали это написать, но решили совместить, так что всем, кто решал наш CTF и хотел посмотреть, что было еще, добро пожаловать!
- Вторая часть касается уже непосредственно анализу проверок магазинами, что они обещают и как это выглядит на самом деле. С датами заявки, проверок и публикаций.
Выводы делайте сами, но на мой взгляд, все достаточно просто, нельзя доверять проверку своего приложения на безопасность магазинам приложений, чтобы они не обещали.
И если когда-то вам скажут о том, что аудит не нужен, так как есть проверки на стороне магазинов, просто покажите им эту статью.
Лайки, репосты и прочие активности очень приветствуются!
Ну а я дальше отдыхать 🌴🏝️
#research #android #googleplay #ctf
Всем привет!
Не могу не поделиться, хоть и из отпуска, нашим исследованием.
Как вы помните, на OFFZONE мы проводили CTF, в котором было представлено приложение с реальными уязвимостями. Тогда я обещал, что мы о нем еще поговорим. Время пришло 🙂
Мы загрузили наше уязвимое приложение во все популярные магазины, наблюдали за процессом их публикации и тому, какие проверки наше приложение проходило.
Исследование призвано ответить на несколько вопросов. Первый - это доказать, что надеется на проверку сторов при публикации и замещать этим аудиты безопасности приложений и средства по анализу защищенности нельзя.
Второй - выяснить, насколько магазины приложений выполняют свои обещания по проверке приложений на безопасность.
Сразу скажу, что к тем сторам, где нет ни слова об анализе приложений на безопасность, вопросов никаких и нет. Однако к тем, которые эту проверку обещают, есть большой вопрос.
Исследование касалось именно проверки на уязвимости и недостатки в приложении, но никак не проверке на вирусы, рекламу и прочее, что любой уважающий себя магазин и так делает.
Статья выше разделена на две части:
- Первая рассказывает о нашем приложении, как оно устроено, какие проблемы мы в него закладывали, к чему они могут привести. Давно планировали это написать, но решили совместить, так что всем, кто решал наш CTF и хотел посмотреть, что было еще, добро пожаловать!
- Вторая часть касается уже непосредственно анализу проверок магазинами, что они обещают и как это выглядит на самом деле. С датами заявки, проверок и публикаций.
Выводы делайте сами, но на мой взгляд, все достаточно просто, нельзя доверять проверку своего приложения на безопасность магазинам приложений, чтобы они не обещали.
И если когда-то вам скажут о том, что аудит не нужен, так как есть проверки на стороне магазинов, просто покажите им эту статью.
Лайки, репосты и прочие активности очень приветствуются!
Ну а я дальше отдыхать 🌴🏝️
#research #android #googleplay #ctf
Хабр
Разрушители легенд: Как на самом деле магазины проверяют приложения на уязвимости
Intro Всем привет! Снова с вами Юрий Шабалин. Уже много лет я занимаюсь безопасностью мобильных приложений и в своих исследованиях доношу важность этого направления для бизнеса. В одной из прошлых...
👍20🔥17👏1🙏1
Статья для начинающих свой путь в Android
Всем привет!
Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.
В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox
В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.
Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.
Добро пожаловать в мир безопасности мобилок»
#android #frida #ctf #burp
Всем привет!
Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.
В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox
В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.
Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.
Добро пожаловать в мир безопасности мобилок»
#android #frida #ctf #burp
👍13🎉3
Итак, CTF!
Как вы помните, в прошлом году мы специально разработали максимально уязвимое приложение и загрузили его во все магазины приложений!
Вы его качественно разломали и мы потратили немало денег на BugBounty!
В этом году мы учли опыт прошлого года и теперь наши «Безопасные заметки» точно супер безопасные! Мы много читали, поумнели (надеюсь), защитили свое приложение и в этом году представляем вам новую версию! Теперь вы его точно не сломаете! Конечно, мы ничего не исправляли, зато применили сложные механизмы защиты!
Теперь, правда она представлена в виде классического CTF с флагами формата flag{some_value}.
Попробуйте найти хотя бы три!
Зарегистрироваться на CTF можно по адресу
https://offzone.ctf.swordfish-academy.ru/
Это совместный CTF, так что внутри есть еще и флаги на Web!
Участвуйте, регистрируйтесь, присоединяйтесь!
Новости будут тут, но оперативная информация в нашем канале “Security Champions”!
#CTF #Android
Как вы помните, в прошлом году мы специально разработали максимально уязвимое приложение и загрузили его во все магазины приложений!
Вы его качественно разломали и мы потратили немало денег на BugBounty!
В этом году мы учли опыт прошлого года и теперь наши «Безопасные заметки» точно супер безопасные! Мы много читали, поумнели (надеюсь), защитили свое приложение и в этом году представляем вам новую версию! Теперь вы его точно не сломаете! Конечно, мы ничего не исправляли, зато применили сложные механизмы защиты!
Теперь, правда она представлена в виде классического CTF с флагами формата flag{some_value}.
Попробуйте найти хотя бы три!
Зарегистрироваться на CTF можно по адресу
https://offzone.ctf.swordfish-academy.ru/
Это совместный CTF, так что внутри есть еще и флаги на Web!
Участвуйте, регистрируйтесь, присоединяйтесь!
Новости будут тут, но оперативная информация в нашем канале “Security Champions”!
#CTF #Android
Telegram
Swordfish Security
Помогаем компаниям выстраивать качественный и эффективный процесс безопасной разработки
Наши сервисы: swordfish-security.ru
Хабр: habr.com/ru/companies/swordfish_security/
Вопросы: info@swordfishsecurity.ru
Наши сервисы: swordfish-security.ru
Хабр: habr.com/ru/companies/swordfish_security/
Вопросы: info@swordfishsecurity.ru
👍1
Для начинающих в iOS
Все мы когда-то начинали свой путь и все проходили различные уязвимые приложения, чтобы понять, как это вообще, анализировать мобильные приложения, какие проблемы бывают и какие инструменты использовать.
Для iOS наиболее популярными приложениями являются DVIAv2 и iGoat.
И вот небольшой гайд по решению задач в приложении iGoat. Чем он может быть полезен? Как минимум тем, что дает базовое представление об используемых инструментах, техниках и проблемах для iOS-приложений. Повторив то, чтоинаписано в статье можно как минимум часть нужного и полезного софта поставить к себе и более того, попробовать им воспользоваться.
Ну а повторение этих действий на своих приложениях может привести к очень интересным находкам :)
#iOS #challenge #ctf #iGoat
Все мы когда-то начинали свой путь и все проходили различные уязвимые приложения, чтобы понять, как это вообще, анализировать мобильные приложения, какие проблемы бывают и какие инструменты использовать.
Для iOS наиболее популярными приложениями являются DVIAv2 и iGoat.
И вот небольшой гайд по решению задач в приложении iGoat. Чем он может быть полезен? Как минимум тем, что дает базовое представление об используемых инструментах, техниках и проблемах для iOS-приложений. Повторив то, чтоинаписано в статье можно как минимум часть нужного и полезного софта поставить к себе и более того, попробовать им воспользоваться.
Ну а повторение этих действий на своих приложениях может привести к очень интересным находкам :)
#iOS #challenge #ctf #iGoat
🔥9👍3🤓1