Mobile AppSec World
5.29K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
​​В качестве обвязки для Frida я использую Python, так как мне этот язык привычен и можно найти много примеров именно такой связки.

Если же вы знаете и любите Java и хотите использовать Frida - этот гайд создан для вас. Внутри - большое количество примеров и объяснений, как и что работает. Примеры использования показаны на основе приложения, которое написал автор специально для данного гайда. Оно содержит много классов, использующих различные компоненты и подходы.

Так что даже, если Java не ваш язык, то на примере этого тестового приложения можно попрактиковаться в написании скриптов для Frida!

Автору респект, на всякий сохранил к себе, вдруг на Java написать что-то захочется 🤣

#Frida #Tools #Guide #Android
kotlin-secure-coding-practices.pdf
6.3 MB
Нашли тут гайд по практикам безопасного программирования на Kotlin от нашего партнера - Checkmarx!

В целом, достаточно неплохой базовый гайд, разобраны категории из OWASP Mobile Top 10 на примере уязвимого приложения Goatlin. Кстати, на нем можно потренироваться в поиске уязвимостей или проверить разные сканеры.

Можно рекомендовать к прочтению, тем, кто еще плотно не знакомился с Kotlin, ну или устроить на основе этого приложения простой CTF для разработчиков, немного его доработав.

Enjoy!

#Android #Kotlin #Guide
Управление эмулятором GameBoy при помощи Frida

Все мы знаем эти познавательные статьи о том, как начать работать с Frida. Каждый раз повторяются одинаковые вещи на чуть-чуть разных примерах. Куча таких статей и постить их не сильно интересно, так как полезного в них не особо много.

Но встречаются и исключения, как в этой замечательной статье. Вместо того, чтобы показать, что такое Frida на примере обычного снятия SSLPinning или подобных вещей, человек взял и написал эмуляцию нажатий клавиш для эмулятора GameBoy с использованием Frida 🤪
Да, это уж точно не назовешь классическим гайдом по началу работы с инструментом. Тем не менее, в этой статье хорошо описаны принципы работы, основные и более продвинутые вещи при использовании Frida.

Но получилось действительно классно, в итоге можно управлять эмулятором через отправку API запросов с параметрами, и в зависимости от запроса вызывать определенное действие в эмуляторе через прямой вызов кода при помощи Frida.
А значит, на Frida вполне можно повторить Twitch Plays, когда из чата парсились команды, прокидывались в игру и весь этот процесс стримился online.

Кстати, неплохая идея для маленького CTF, напиши бота, который пройдет реальную несложную игру в эмуляторе и получи что-нибудь приятное.

#Frida #guide #crazy
Обучающие видео по анализу приложений

Есть занятный канал про безопасность, на котором в том числе есть отдельная секция по мобилкам.

Достаточно подробно разбираются некоторые уязвимости, например в deeplink или intent redirection и т.д.

Достаточно годный материал, но только для тех, кто может слушать индусский английский. Я вот с трудом его переношу)) но если вам ок, то можно послушать :)

#android #youtube #guide
iOS Hacking - гайд для новичков

Автор не обманул, гайд и действительно для новичков. Хорошо структурированный, описывающий основные концепции что и где можно поискать, но не сильно подробный. Мне намного больше понравился гайд на русском, от нашего соотечественника, куда более тщательно и основательно подготовленный.

Что полезного, можно дернуть некоторые регекспы и команды для поиска нужной информации, как например строка для поиска IBAN, который до недавнего времени как-то проходил мимо меня:

IBAN: [a-zA-Z]{2}[0-9]{2}[a-zA-Z0-9]{4}[0-9]{7}([a-zA-Z0-9]?){0,16}

Так что вывод простой, даже в кажущихся на первый взгляд простых статьях, из которых не ожидаешь получить чего-то интересного, всегда можно получить что-то полезное (ну или освежить знания и понять, что в целом всё не так и плохо).

#ios #guide