Все, кто занимается безопасностью мобильных приложений, знают о существовании отличного гайда по тестированию - OWASP Mobile Security Testing Guide (MSTG). А также об одном из немногих стандартов для мобил - Mobile Application Security Verification Standard (MASVS). Они даже переведены на русский 😱

Сейчас создатели этих документов хотят узнать, какие компании используют их в своей работе.

Давайте поддержим их и поможем! Если в своей работе вы как-то используете материалы из проекта OWASP Mobile, напишите им :)

#OWASP #MSTG #MASVS #Guides

https://github.com/OWASP/owasp-mstg/blob/master/Users.md

​​Недавно я рассказывал о чеклистах и стандартах по безопасности мобильных приложений от OWASP. К большому сожалению, они одни из немногих, кто выпускают подобные материалы. Если чеклистов по безопасности Web-приложений можно найти огромное количество на любой вкус, то в случае с мобильными приложениями всё несколько хуже.

Иногда всё-таки мне встречаются альтернативные списки требований для мобильных приложений, которые я буду выкладывать по мере нахождения, надеюсь, они пригодятся кому-то :) Из всех доступных стандартов можно составить список требований, который будет адресован именно вашим приложениям 🤓

#MASVS #OWASP #Checklist #Standart

Вступление про безопасность iOS

@testing_guy продолжает радовать ссылками, спасибо! На этот раз видео с недавно прошедшей (в 2020 году) конференции по iOS про то, как сделать iOS приложения более безопасными!

Я с удовольствием посмотрел это видео, оно отличное для того, чтобы вкатиться в тему и получить представление об угрозах касательно iOS, узнать про OWASP и т.д.

Я сначала удивился, что такие простые вещи рассказывают на конференции в 2020 году! Чувак рассказывает про Owasp Testing Guide и показывает примеры на уязвимом приложении от того же Owasp. Но потом посмотрел и всё понял, это конференция разработчиков, так что норм :)

На самом деле, в тренингах я тоже много рассказываю и про овасп и про тестинг гайды и прочие основные вещи. Так что видео очень хорошее для для тех, кто хочет приобщиться к теме безопасности iOS и понять,на что смотреть.

Приятного просмотра!

#iOS #OWASP #Talks

Изменения в MASVS и MSTG

Не так давно прошел митап от OWASP, где обсуждались изменения и будущие улучшения в главных документах для мобилок от OWASP (стандатрте MASVS и гайду MSTG).

Обещают автоматическую генерацию чеклистов на основании MASVS, глобальную переработку структуры и контента, более прозрачную связь между этими документами.

Насколько я понял, бегло пробежав по видео - можно подискуровать и предложить что-то своё в issue на github или присоединившись в Discord.

Интересная и правильная активность, постараюсь в ближайшее время посмотреть подробнее и накидать ссылок на самые интересные изменения.

Посмотреть весь доклад можно на YouTube.

Плюсом к обсуждению переработки документов, на том же вебинаре можно посмотреть доклад Cracking Android PINs.

#owasp #masvs #mstg

Новый релиз MSTG

Быстрый анонс всем известного Mobile Security Testing Guide.
Несколько часов назад вышла новая версия этого замечательного гайда.

Пока что, всех обещанных изменений в нем нет, но какие-то первые шаги уже прослеживаются. Из глобальных изменений:
- Replace Outdated Drozer when Possible
- Update iOS Binary Protection Checks
- Add iOS Debugging Symbols Inspection
- Add APK Signature Scheme (v4) by @Saket-taneja
- Add Patching Example for Debugging iOS Apps
- Add check for JWT Claim by @Saket-taneja
- Add section Loaded Native Libraries by @cpholguera
- Add Visual Studio App Center by @anantshri
- Add Privacy Labels and Rework Privacy Chapter

Так что гайд стал чуть более актуальным :)

#owasp #mstg #release

Переработка MASVS

А тем временем переработка MASVS идет полным ходом, как нам и обещали в конце года. Сейчас в самом разгаре проработка секции CRYPTO, и черновик можно посмотреть вот по этой ссылке

Что сказать, многие пункты или убрали или переработали и объединили. Например самый первый пункт теперь объединяет в себе все best practice по реализации шифрования:
- not using custom-made crypto.
- prefer platform provided crypto APIs (e.g. Apple CryptoKit)
- if possible, perform crypto operations inside secure hardware (e.g. iOS SE)
- else, consider well-tested & vetted libs: e.g. wolfSSL, boringSSL, openSSL

Если раньше это было размазано по нескольким пунктам в качестве отдельных требований, теперь все в одном флаконе. Не уверен, что это позитивно скажется на проверках, но посмотрим, что получится в итоговом документе.

В любом случае, приятно, что эти материалы развиваются и модифицируются в форму, в которой их будет удобно применять (надеюсь)

#OWASP #MASVS #Creypto

Рефакторинг MASVS - секция CODE

Недавно я писал про планы провести глобальный "ребрендинг" и рефакторинг основных документов от OWASP для мобильных приложений. Секция про криптографию уже переработана и сейчас настала очередь рздела V7 - Code.

И надо сказать, что переделывают его неплохо, по крайней мере все спорные требования, которые было иногда трудно понять либо совсем убрали, либо перенесли в правильные разделы. К примеру требование "MSTG-CODE-7 Error handling logic in security controls denies access by default." наконец-то переехало в секцию архитектуры, где ей самое место.

А требование про "A mechanism for enforcing updates of the mobile app exists." либо вообще уберут, либо оно также переедет в архитектуру.

Так как этот документ и вообще проект OWASP это общественное мероприятие, обсудить и прокомментировать можно в обсуждении на github ( и там же актуальный дифф).

Так что, если есть, что сказать - добро пожаловать в комьюнити OWASP :)

#owasp #masvs #mstg #refactoring

Митап посвящённый переделке MASVS и MSTG

Как я несколько раз уже писал, сейчас идет активная работа над переработкой контента в основных документах OWASP по мобилкам(MSTG и MASVS), чтобы сделать их более привязанными к реальности и взаимодополняющими друг друга, а так же добавить немного автоматизации при работе с ними.

И вот, скоро, 18 августа в 18:30 PM (GMT-4) пройдет митап, посвященный текущему статусу переработки, покажут, что получается, расскажут про целевое видение и дальнейшие планы.

К сожалению, по Москве это 1:30 ночи 19-го числа. Не думаю, чоо все готовы будут столько ждать, поэтому хочу попробовать записать его и потом выложить куда-то, думаю, что должно быть достаточно интересно.

Ну и чтобы не забыть, можно поставить напоминалку или зарегаться у них на сайте и добавить событие в календарь.

#owasp #masvs #meetup

Слайды с доклада по рефакторингу MASVS и MSTG

В начале июня прошел OWASP Virual AppSec 2022, на котором в том числе был доклад про текущий статус переработки двух основных документов по мобилам от оваспа.

Ну что сказать, ребята молодцы, как и обещали потихоньку вместе с сообществом лопатят наши основные документы, которые мы так часто используем.

Из интересного, и что в очередной раз хочется отметить:
1. Документы теперь будут связаны между собой намного сильнее
2. В MSTG должны появиться атомарные проверки на каждое требование (то есть будет понятнее что и как проверять)
3. Существенная переработка требований в каждом разделе
4. Отчетики в PDF и способы автоматизации

Так что все идет к тому, что в этом году мы таки увидим долгожданный релиз и новую «более лучшую версию»!

#owasp #mstg #masvs

Небольшой экскурс в OWASP MASVS

Очередное видео с конференции про то, зачем нужен MASVS и как его применять. Ну и конечно, много времени снова уделено процессу рефакторинга этих документов.

Но в случае с прошлым постом на эту тему были доступны только слайды, а здесь полноценный доклад, так что если кому-то проще слушать и смотреть, а не читать, то это видео в самый раз.

#owasp #masvs

Запись демо.

Всем привет! Наконец дошли руки и появилась возможность нарезать демо, которое проводили летом.

https://youtu.be/b3kOvsQoFfA

Надеюсь, что скоро будет ещё одно, по нашим новым фичам) так что, можно обновить воспоминания, а что же такое наш Стингрей :)

#stingray #demo

OWASP Global AppSec EU 2022

Внезапно понял, что у OWASP есть не только сайт и гитхаб репо, но и официальный ютуб :))

Посмотрев, что там, нашел весьма и весьма интересный плейлист с записью всех докладов с прошедшей в этом году Global AppSec конференции.

Выложили видосы не так давно и потихоньку ещё добавляют, последний апдейт был вчера. На самом деле, доклады самые разнообразные, начиная от рассказов про Security Champions, DefectDojo, OpenSAMM, заканчивая разбором различных уязвимостей. Весьма интересно и может быть полезно в работе, посмотреть как люди за морем-океаном живут и о чем думают в области AppSec.

По нашей тематике из этого списка можно выделить такие выступления:
- “Mobile Wanderlust”! Our Journey to Version 2 0!
- Exhibitor: How to Meet the New Mobile Application Security Imperative

Хорошего просмотра!

#owasp #video

Как обеспечить безопасность flutter-приложений

Статья, которая не как все, рассказывает о применении reFlutter для анализа таких приложений, а наоборот, объясняет как их можно защитить от угроз, описанных в OWASP Mobile.

В статье описаны, на самом деле, базовые техники и общие рекомендации, иногда с примерами кода и советами по используемым плагинам.

Иногда я бы не стал им сильно доверять, например, совету с использованием Flutter-secure-storage, но все равно, отправная точка есть.

Да, пусть статья и не самая подробная и имеет только общие рекомендации, но все равно такого материала часто сильно не хватает. И я очень рекомендую ее пролистать и отправить почитать разработчикам кроссплатформенных приложений.

Хороших выходных!

#flutter #secure #owasp

Очередной обход проверок на Jailbreak

Всем таким же, как и я любителям видео с индуским английским посвящается!

Видео про обход нескольких проверок на Jailbreak:
- ptrace
- sysctl
- getppid
- dyld_get_image_name
- strstr

Все обходы реализованы через Frida, также есть и репозиторий с приложением и скриптами обхода, показанными в видео.

Как показывает мой опыт, реализовывать обход проверки только через Frida крайне проблематично. Это хорошо работает для небольших и легких проверок, но когда в ход идут более серьёзные способы защиты, обойти их через Frida можно, но это очень сильно замедляет работу приложения.

Хорошим способом является сочетание методов, например через твики (Shadow, A-ByPass и т.д.), и реализация дополнительных обходов уже через фрида.

В любом случае, полезное видео и скрипты неплохие, могут помочь в ряде случаев.

«халлоу, туудэй ви вилл лёрн хау ту байпась мост жеилбрек детекшн»

#ios #jailbreak #bypass