Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом

Всем привет! Меня зовут Юрий Шабалин, я один из основателей компании Stingray Technologies. Мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android. Сегодня я хотел бы снова затронуть тему безопасности сетевого взаимодействия между приложением и его серверной частью. На...

Все блоги / Про интернет

Подборка материалов по мобильной безопасности «Awesome Mobile Security»

Привет, Хабр! Меня зовут Юрий Шабалин, я один из основателей компании "Стингрей Технолоджиз" (входит в группу компаний Swordfish Security), мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android. По долгу службы мы подписаны на большое количество ресурсов и прорабатываем...

Все блоги / Про интернет

СheckKarlMarx: утилита для поиска уязвимостей в продовых сборках

Всем привет! Меня зовут Дмитрий Терёшин, в СберМаркете я занимаюсь Application Security — безопасностью веб- и мобильных приложений. Во время аудитов мобильных приложений я часто натыкался на плавающие уязвимости: они появляются только в конечной сборке, которая отправляется в стор. Я разработал...

Все блоги / Про интернет

Наиболее распространенные уязвимости в мобильных приложениях

Всем привет, меня зовут Юрий Шабалин, я один из основателей компании "Стингрей Технолоджиз" (входит в группу компаний Swordfish Security), мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android. Этой статьей я бы хотел открыть серию материалов, посвященных мобильной...

Все блоги / Про интернет

Качество ПО, которое содержит сервис платёжных шлюзов: Что? Где? И как тестировать?

Как выйти на рынок с программным продуктом для платёжных операций, который удовлетворит потребности пользователей и гарантирует безопасность транзакций? Рассказываем в этой статье. Читать далее...

Все блоги / Про интернет

Как взломать систему через тестовую среду

Безопасность на реальных примерах всегда интересна. Разговор будет идти о взломе систем через тестовые среды. В приведенном ниже примере из тестирования на проникновение для одного нашего клиента был получен прямой доступ в облако с полным доступом сразу к нескольким лайв системам. Сразу...

Все блоги / Про интернет

Поговорим об… анонимности. Крафтим не отслеживаемый телефон

DISCLAIMER: Данная статья написана в ознакомительных целях и не является руководством к неправомерным действиям или обучающим материалом для сокрытия правонарушений. Начнем с ЖЕЛЕЗА ТРЕБОВАНИЯ: • процессор МТК 65хх/67хх серии • GhostPhone (для смены IMEI) • отключение камеры и микрофона • отказ от...

Все блоги / Про интернет

[Перевод] Как я случайно заблокировал 10 000 телефонов в Южной Америке

Перед вами — забавная и поучительная история Шантну Тивари, небрежность которого привела к крайне печальным последствиям: более десяти тысяч телефонов в Южной Америке в один момент оказались заблокированными. Люди не могли даже позвонить, не говоря уж про более сложные действия. О том, как это было...

Все блоги / Про интернет

Большая подборка полезных ресурсов от экспертов Positive Technologies: от лаб и подкастов до блогеров и сообществ

Хотите быть в курсе всего интересного, что происходит в практической информационной безопасности? Знать, за чьими твитами стоит следить, где можно подружиться с коллегами по цеху, что в первую очередь читать и смотреть, чтобы почерпнуть фундаментальные штуки? На каких площадках можно прокачать...

Все блоги / Про интернет

Анализ трафика приложений на Android Emulator. Причем здесь Root?

Привет! Я думаю, что наберется немало людей, перед которыми стоят интересные задачи по работе с приложениями. Например - анализ трафика для, разумеется, тестирования этих самых приложений! Вам выпало нелегкое бремя - необходимо отдебажить продовую сборку чего-либо и вы начинаете свои поиски решений...

Все блоги / Про интернет

Безопасность iOS-приложений: гайд для новичков

Привет! Меня зовут Гриша, я работаю application security инженером в компании Wrike и отвечаю за безопасность наших мобильных приложений. В этой статье я расскажу про основы безопасности iOS-приложений. Текст будет полезен, если вы только начинаете интересоваться безопасностью мобильных приложений...

Все блоги / Про интернет

Как молодой девушке уехать на Яндекс.Такси в лес и пропасть без вести

Любой человек может оказаться в неприятной ситуации когда он едет ночью, в лес, в багажнике... Предусмотрительные граждане пытаются избежать подобных инцидентов выбирая сервисы такси известных брендов, которые декларируют безопасность поездки, контроль за водителями и даже вешают в приложении...

Все блоги / Про интернет

Проверяем безопасность приложений с помощью Drozer

Drozer – обязательный инструмент в арсенале каждого пентестера. С его помощью можно быстро получить информацию о приложении и его слабых местах. Drozer предустановлен в Kali Linux и других ОС для белого хакинга. Возможности Drozer: Получение информации о пакете Определение поверхности атаки Запуск...

Все блоги / Про интернет

Уязвимости в реализации межпроцессного взаимодействия в Android-приложениях

Последние 6 лет я работаю экспертом по информационной безопасности в Одноклассниках и отвечаю за безопасность приложений. Мой доклад сегодня — о механизмах межпроцессного взаимодействия в андроиде и уязвимостях, связанных с их неверным использованием. Но сначала пара слов о том, как появился этот...

Все блоги / Про интернет

[Из песочницы] Устрой дестрой, порядок НЕ отстой: как я приводил в чувство шкаф для хранения девайсов

Привет! В этой статье я расскажу, как в «Лайв Тайпинге» один смышленый QA с творческим мышлением и умелыми руками помог своей команде и оптимизировал процесс работы с девайсами. Читать дальше →...

Все блоги / Нетбуки и Планшеты

Яндекс автоматически привязывает карту к другому аккаунту

В последнее время многие сервисы стараются запоминать данные банковской карты при оплате, чтобы в следующий раз пользователю было удобнее платить, и не нужно было заполнять данные карты снова. Почти уверен, что во всех учебниках по маркетингу написано, что в случае привязки карты вероятность...

Все блоги / Про интернет

«Социальный мониторинг». Счёт 1:0 в нашу пользу

Введение Приложение вышло → увидели тихий ужас → начали писать отрицательные отзывы → разобрали по полочкам → приложение удалили (отправили на доработку). Всем привет, в данной статье, когда всё миновало, я хочу рассказать Вам о двух ключевых стадиях из перечисленных выше. Что за приложение можно...

Все блоги / Про интернет

Уязвимости ритейлеров — три случая, когда OTP можно было получить в запросе

При входе в личные кабинеты различных сервисов, в целях безопасности, часто используется 2FA — помимо логина и пароля, нужно ввести одноразовый код. Но, как оказалось, не всё так безопасно даже с двухфакторной аутентификацией — за последний год я нашёл три (!) сервиса, когда одноразовый код для...

Все блоги / Про интернет