Решение задачи с Flutter

А вот и решение этого таска, кому интересно.

В видео рассказывают про то, как можно было решить задание и в целом, что можно сделать с флаттером, как его анализировать, что смотреть и прочие интересные вещи. Тут нам и reFlutter (❤️) и статья по реверсу от GuardSquare пригодилась и вообще неплохая демо анализа подобных приложений.

Советую всем, кто начинает знакомиться с анализом кроссплатформ и любит Stepn Flutter 😁

#flutter #ctf

Знакомьтесь, динамический анализ приложений или просто DAST.

Всем привет!

В связи с недавними событиями рынок ИБ-инструментов для анализа приложений достаточно сильно "похудел". По своему опыту скажу, что наиболее сильно это ударило по инструментам по анализу Open Source компонент (практика SCA) и по динамическому анализу (всякие Acunetix, Netsparker и прочие DAST-инструменты).

На этой волне, вполне возможно, что будут появляться (я по крайней мере очень на это надеюсь), наши решения, которые закрывают ушедших с нашего рынка игроков и не будут уступать им по качеству. Поэтому я собрал в статью основные правила по выбору инструмента DAST, на что обратить внимание, как встроить в процесс и разные веселые (и не очень) истории из жизни)) Например, когда наш корпоративный WiFi заблочили во время презентации нового сайта ТОП-менеджерам компании :D
Удивительно, как меня потом не уволили)))

Надеюсь это будет полезно тем, кто занимается AppSec и ищет различные инструменты и материалы по теме)

Ну и отдельным пунктом здесь же, хотелось бы анонсировать интересный тул от компании Positive, их динамический сканер) Мы его немного пощупали до бэты и это крайне интресная вещь) Так что, если есть желание посмотреть, чем позитивы нас порадуют в этот раз - подключайтесь на официальный запуск =)

#DAST #Habr #Positive #DevSecOps

А что после OFFZONE?

И после OFFZONE есть жизнь))
Хочу пригласить всех желающих на небольшой вебинар «Безопасность мобильных приложений в текущих реалиях».

Пройдет он во вторник, 30 августа в 14:00 (мск).

Я расскажу, что вообще сейчас происходит с безопасностью мобилок и каких угроз сегодня стоит опасаться больше всего. Обсудим с вами, как защитить данные пользователей и технологии. Поговорим о подходах и инструментах, с помощью которых можно автоматизировать тестирование приложений. Ну а в конце встречи участники получат специальное предложение (это пока секрет))

Постараюсь дать как можно больше практических деталей, ответить на все ваши вопросы и сделать вебинар максимально полезным для вас)

Не забудьте заранее зарегистрироваться по этой ссылке.

Надеюсь, увидеть много знакомых лиц :)

#webinar #stingray

OFFZONE! CTF! Участвуйте и приходите к нам!

Всем привет!
Итак, конференция OFFZONE 2022 официально началась!
У нас свой комьюнити стенд, так что приходите знакомиться!

У нас классные активности, а именно CTF по Android и iOS! Заходите, участвуйте, получайте фан и крутой мерч)

Зарегистрироваться на CTF можно тут:
https://mobile.ctf.appsec.global/

За первые 10 мест обещаем футболки, OffCoin и полный набор мерча!
И конечно, те, кто участвовал в розыгрышах, приходите за обещеннымы подарками)

LETS GO!

#OFFZONE #CTF

Ну и в качестве небольшого подгона)
Стикерпак с мобилками, в лучших традициях жанра)))

Второй день мы с вами!

Всем привет, надеюсь, вы живы после вчерашнего дня конференции =)

Сегодня мы снова с вами и вас ждет не менее интересный день.

В 14-00 проведем "Свою игру", вечером подведем итоги мобильного CTF и наградим победителей футболками, мерчем и, конечно, начислим OffCoin'ы!

Приходите поболтать, посмотреть на демку и просто весело провести время!

#android #iOS #CTF #OFFZONE

Своя игра!

Ребят, все, кто на OFFZONE, около стенда проводим свою игру!

Приходите, посмотреть или поучаствовать :)

Окончание CTF

Друзья! Спасибо всем огромное, кто принимал участие в «Своей Игре» и болел за участников и иногда им помогал :)

Было очень весело и круто!

Ну а мы потихоньку завершаем наш CTF по Android и iOS, осталось совсем немного времени, чтобы пробиться в лидеры!

В 16:00 проведем награждение всех, кто занял призовые места! А именно с первого по двадцатое!

Так что приходите за призами и наградами! :D

Первая десятка участников!

И вторая половина =)

А чтобы было чуть интереснее, мы заморозим скорборд и будет неизвестно, кто победил до самого часа Х (16-00)

5 участников буквально в шаге от победы. Так что, нее упустите свой шанс и скоро мы узнаем тройку призеров!

Спасибо всем огромное за участие!
Действительно, за последние полчаса произошли существенные изменения в турнирной таблице =)

Поздравим наших победителей!

Перенос вебинара.

Всем привет!
С большим сожалением нам пришлось перенести дату проведения вебинара на сентябрь (более точно дату скажу позже).

Я после конфы сильно приболел, так что пришлось немного подвинуться :)

Ну ничего, будет значит больше времени на подготовку и ещё больше классного контента!

Не болейте!

Больше Flutter'a богу Flutter!

Всем привет!
Я наконец-то отошел от конференции, осознал себя, долечился и готов снова поставлять новости и контент по мобилкам, как и раньше. А накопилось его за это время порядком уже, месяц как-никак прошел... 😳

Ну и начнем мы с любимого всеми Flutter, его особенностей, способа анализа и прочего-прочего-прочего. По стопам доклада с OFFZONE (надеюсь, скоро будут и видео), вышла большая статья от @impact_l посвященная особенностям архитектуры, компиляции и, конечно анализу подобных приложений.

Очень подробная и качественная статья полностью раскрывающая нюансы, которые не были упомянуты в докладе из-за ограничений по времени. Так что, надеюсь, утренний кофе сегодня будет намного вкуснее и интереснее, чем обычно. Приятного чтения!

И да, подписывайтесь на канал от автора статьи, он публикует классный контент (и не только по мобилкам)!

С возвращением меня и хорошей недели всем!

#return #flutter #reflutter

Анализ iOS-приложения SignPass, анализ обфускации и обход RASP

Очень интересная статья про подход к анализу приложения, нативный код которого обфусцирован, а само оно имплеменитрует методику RASP, а именно всё, что мы так любим, обнаружение Jailbreak, отладчиков, обнаружение Frida и всё вот это.

Очень подробно и тщательно описаны шаги и действия автора, поиск и обход всех проверок (а их там немало) с примерами кода и ассемблерными вставками.

В общем очень-очень рекомендую ознакомиться всем, кто работает с iOS-приложениями и занимается реверсом и Frida.

#ios #frida #rasp