Forwarded from BlackFan
Изучая документацию jadx наткнулся на упоминание, что его можно подключить как библиотеку в свое Java приложение. И эта идея настолько понравилась, что в итоге вылилась в небольшой комбайн, который удобно использовать для первоначальной обработки JAR/WAR/APK приложений при анализе защищенности.
https://github.com/BlackFan/BFScan
BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.
А также формирует сырые HTTP запросы и OpenAPI спецификацию на основе конфигов, аннотаций методов и классов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Что значительно облегчает тестирование API, когда тело HTTP запроса необходимо сформировать из десятка вложенных классов.
Рассмотрим пример работы утилиты с классом, использующим Spring-аннотации.
В случае, если обрабатываемое приложение использует поддерживаемую библиотеку, утилита сгенерирует файл, содержащий все HTTP запросы, поддерживаемые приложением.
Приложение удобно использовать как для клиентских приложений, когда вы анализируете API мобильного приложения. Так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нем захардкоженных секретов или дальнейшего анализа API эндпоинтов, которое оно обрабатывает.
Если приложение обфусцировано, что часто бывает с APK, утилита проанализирует все аннотации и, если они похожи на типичное объявление API эндпоинтов, построит HTTP запросы на основе них. В случае, если данная функциональность сработала неправильно, используя jadx вы можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.
https://github.com/BlackFan/BFScan
BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.
А также формирует сырые HTTP запросы и OpenAPI спецификацию на основе конфигов, аннотаций методов и классов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Что значительно облегчает тестирование API, когда тело HTTP запроса необходимо сформировать из десятка вложенных классов.
Рассмотрим пример работы утилиты с классом, использующим Spring-аннотации.
@RestController
@RequestMapping("/api")
public class UserController {
@PostMapping("createUser")
public String create(@RequestParam Optional<String> someParamName, @RequestBody User user) {
return "response";
}
В случае, если обрабатываемое приложение использует поддерживаемую библиотеку, утилита сгенерирует файл, содержащий все HTTP запросы, поддерживаемые приложением.
POST /api/createUser?someParamName=value HTTP/1.1
Host: localhost
Connection: close
Content-Type: application/json
{
"name": "name",
"age": 1
}
Приложение удобно использовать как для клиентских приложений, когда вы анализируете API мобильного приложения. Так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нем захардкоженных секретов или дальнейшего анализа API эндпоинтов, которое оно обрабатывает.
Если приложение обфусцировано, что часто бывает с APK, утилита проанализирует все аннотации и, если они похожи на типичное объявление API эндпоинтов, построит HTTP запросы на основе них. В случае, если данная функциональность сработала неправильно, используя jadx вы можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.
👍1👎1🤔1
Очень приятно, что авторитетные издания заметили мой небольшой канал. Огромное спасибо сачку и пакету безопасности за проделанную работу, места в топе распределены крайне продуманно.
Дальше-больше!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥7👍2😴2🥴1
Не все знают, но на PHDays с прошлого года проходит соревнование по социальной инженерии, в рамках которого участникам предлагается пропентестить конференцию, используя исключительно социалку.
Например, в прошлом году требовалось обманным путем получить пропуска организаторов, несанкционированно проникнуть в штаб организаторов и сделать там фото пароля от сети wi-fi.
В этом году будет проводиться такой же конкурс, в котором я с командой несомненно буду участвовать. И у нас появилась крайне интересная идея для нового контента!
Будет ли вам интересно, если мы запишем все прохождение заданий на скрытую боди камеру, после чего выложим данное видео в канал? Мне данная идея кажется крайне интересной и даже полезной для обеспечения физической безопасности мероприятий. Что думаете?
Например, в прошлом году требовалось обманным путем получить пропуска организаторов, несанкционированно проникнуть в штаб организаторов и сделать там фото пароля от сети wi-fi.
В этом году будет проводиться такой же конкурс, в котором я с командой несомненно буду участвовать. И у нас появилась крайне интересная идея для нового контента!
Будет ли вам интересно, если мы запишем все прохождение заданий на скрытую боди камеру, после чего выложим данное видео в канал? Мне данная идея кажется крайне интересной и даже полезной для обеспечения физической безопасности мероприятий. Что думаете?
❤🔥6🔥4
Forwarded from Doom SE
Друзья из команды Duckerz совместно со Standoff365 проводят конкурс, наградами в котором будут 10 проходок на PHDays!
Участникам к решению предлагаются 4 задания в формате багбаунти, первые 10 решивших получат бесплатные билеты на экспертную часть PHDays
От себя прошу опытных багхантеров не забирать все проходки, так как конкурс направлен на новичков
Участникам к решению предлагаются 4 задания в формате багбаунти, первые 10 решивших получат бесплатные билеты на экспертную часть PHDays
От себя прошу опытных багхантеров не забирать все проходки, так как конкурс направлен на новичков
👍10❤8🔥3👎2🌚2
Недавно нашёл достаточно мемную критическую CVE, которая является... Стандартным паролем🔫
Речь идёт о CVE-2021-38759, сутью которой является неизмененный стандартный пароль Raspberry Pi ¯\_(ツ)_/¯
И, как по мне, бесконтрольность выпуска CVE это не есть хорошо, ибо база захламляется и найти что-то полезное в будущем может стать проблематично. Возможно, человек репортил её с целью добавить строчку в резюме, но сути это не меняет.
А ещё из смешного, по мнению vulndb, цена эксплойта составляет до $5k😂
Речь идёт о CVE-2021-38759, сутью которой является неизмененный стандартный пароль Raspberry Pi ¯\_(ツ)_/¯
И, как по мне, бесконтрольность выпуска CVE это не есть хорошо, ибо база захламляется и найти что-то полезное в будущем может стать проблематично. Возможно, человек репортил её с целью добавить строчку в резюме, но сути это не меняет.
А ещё из смешного, по мнению vulndb, цена эксплойта составляет до $5k
Только лишь достойнейшему дарована сила поднять этот молот
Please open Telegram to view this post
VIEW IN TELEGRAM
😁17🥰2❤1
⚡️Павел Дуров заявил, что намерен принять участие в Гойда-CTF 2026
❤15🔥8👍7🍌4💊2
Forwarded from Константин Рыбас
Просто есть реальный хакинг кибер война. А всякие баги баунти это ни о чем.
😁12💯4👎1
Банка пывна
https://news.1rj.ru/str/CyberSachok/2530
Держим планочку, господа😎
Банка пывна снова занимает почетное третье место топа ИБ каналов в номинации "микроблоги"
Держим планочку, господа
Банка пывна снова занимает почетное третье место топа ИБ каналов в номинации "микроблоги"
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥7👍2👎1
Думаю, не нужно объяснять, кто сегодня герой дня.
Если вдруг кто в танке, компания Аэрофлот пострадала от кибератаки.
Аэрофлот – одна из самых крупных в России авиакомпаний, имеющая под капотом огромную по масштабам IT-инфраструктуру. Интегрировать ИБ в таковую невозможно за месяц, поэтому к Бастиону и bi.zone не может быть каких-либо серьёзных претензий.
Полностью солидарен с мыслями Влада, на данный момент лучше воздержаться от обсуждения непроверенных данных и ждать официальных заявлений.
Аэрофлот – одна из самых крупных в России авиакомпаний, имеющая под капотом огромную по масштабам IT-инфраструктуру. Интегрировать ИБ в таковую невозможно за месяц, поэтому к Бастиону и bi.zone не может быть каких-либо серьёзных претензий.
Полностью солидарен с мыслями Влада, на данный момент лучше воздержаться от обсуждения непроверенных данных и ждать официальных заявлений.
🤔5👍1👎1
Forwarded from Backconnect
This media is not supported in your browser
VIEW IN TELEGRAM
Забавный факт
Колесико в будильнике настроено не циклом, а просто очень длинным списком
Колесико в будильнике настроено не циклом, а просто очень длинным списком
🌚23❤🔥4
Forwarded from k3vg3n ch
Всех с днём защиты информации!
Не забываем про хранение паролей на бумажке)
Не забываем про хранение паролей на бумажке)
👍1🤣1
Forwarded from CTF News
До начала IX Кубка CTF России остался один день!
Подключайтесь завтра в 9:00 часов к трансляции и следите за школьным зачётом!
Полное расписание и список финалистов на сайте: https://ctfnews.ru/news/2126
Подключайтесь завтра в 9:00 часов к трансляции и следите за школьным зачётом!
Полное расписание и список финалистов на сайте: https://ctfnews.ru/news/2126
🤣1
CTF News
До начала IX Кубка CTF России остался один день! Подключайтесь завтра в 9:00 часов к трансляции и следите за школьным зачётом! Полное расписание и список финалистов на сайте: https://ctfnews.ru/news/2126
В этом году принимаю участвие уже в смешанном зачёте, буду играть за команду LCD
Всем держать кулачки!!
Всем держать кулачки!!
🔥14🤣3🥱1🐳1