Forwarded from Елизавета
21 августа в 19:00 зовём в московский офис Купера (ex СберМаркет) на митап о том, как строить процессы безопасности приложений. Послушать в онлайне тоже можно.
В программе:
🔥 Как выстроить DAST на Open-Source: гибкое использование Nuclei и ZAP под сервисы компании. Алексей Крохин из RuStore
🔥 Несколько вредных советов для вашего ASPM. Артём Пузанков и Артём Кармазин из Positive Technologies
🔥 Мы написали свою DSO-платформу, но все равно купили ASOC. Да как так-то?… Семён Барышников из Купер.тех
🔥 Как мы Defect Dojo SASTами тестировали. Кирилл Самосадный из SolidLab
🔥 Какой должен быть SAST? Алексей Федулаев из MTS Web Services
Регистрируйся, чтобы попасть в офлайн и получить ссылку на онлайн-трансляцию!
В программе:
🔥 Как выстроить DAST на Open-Source: гибкое использование Nuclei и ZAP под сервисы компании. Алексей Крохин из RuStore
🔥 Несколько вредных советов для вашего ASPM. Артём Пузанков и Артём Кармазин из Positive Technologies
🔥 Мы написали свою DSO-платформу, но все равно купили ASOC. Да как так-то?… Семён Барышников из Купер.тех
🔥 Как мы Defect Dojo SASTами тестировали. Кирилл Самосадный из SolidLab
🔥 Какой должен быть SAST? Алексей Федулаев из MTS Web Services
Регистрируйся, чтобы попасть в офлайн и получить ссылку на онлайн-трансляцию!
🎉8👍3🔥1
Мерч-мерч :)
Тут у Похек'а подъехал мерч :)
На самом деле мне перепала футболка “RCE” и мне очень понравился фасон, прям очень удобная, так что рекомендую :)
Тут у Похек'а подъехал мерч :)
На самом деле мне перепала футболка “RCE” и мне очень понравился фасон, прям очень удобная, так что рекомендую :)
❤3
Forwarded from Похек (Сергей Зыбнев)
#мерч_похек
Долго думал над постов про мерч шоп. Думал, думал и ничего не придумал, если честно.
Осталось мало черных футболок RCE для сердца, так что успейте разобрать. Если не будет хватать вашего размера, то как наберётся некая масса таких предзаказов, то закажу с производства
Цена после OFFZONE может вырасти до 5к, но пока решение не окончательное
Please open Telegram to view this post
VIEW IN TELEGRAM
👎3👍1🔥1
Forwarded from Белый хакер
Привет, друзья! Хотите узнать что-то крутое из мира шифрования и безопасности данных? Apple выкатил открытую библиотеку для гомоморфного шифрования, написанную на Swift. Это значит, что теперь можно создавать приложения, которые работают с зашифрованными данными, не раскрывая их на промежуточных этапах обработки.
🧑💻 Гомоморфное шифрование позволяет выполнять вычисления с данными, которые остаются зашифрованными на всех этапах обработки. То есть вы шифруете данные, передаёте их на сервер, сервер выполняет нужные вычисления и возвращает результат тоже в зашифрованном виде. Расшифровать результат можете только вы, используя свои ключи. Такой подход идеально подходит для облачных сервисов, конфиденциальных вычислений, электронного голосования и даже для работы с зашифрованными данными в СУБД и машинном обучении.
Как это может помочь?
P. S Библиотека распространяется под лицензией Apache 2.0, так что каждый из вас может её использовать и дорабатывать. Это огромный шаг вперёд в мире безопасности данных и конфиденциальных вычислений.
#Apple #Шифрование
Белый хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12🤡3
Шифрование!
Вот это прям реально круто! И чтобы Apple, да в openSource. Это внушает надежды, что проект будет поддерживаться.
Однако, судя по тому, что мы видим, редко кто обычное шифрование использует, почти никогда не встретишь использование Security Enclave, что говорить о гомоморфном шифровании (всегда два раза проверяю написание этого слова).
Но очень хочется верить, что если это правильно донести до разработки, очень надеюсь, что мы скоро сможем увидеть использование этого подхода в приложениях.
Так что изучаем, продвигаем и используем! :D
Вот это прям реально круто! И чтобы Apple, да в openSource. Это внушает надежды, что проект будет поддерживаться.
Однако, судя по тому, что мы видим, редко кто обычное шифрование использует, почти никогда не встретишь использование Security Enclave, что говорить о гомоморфном шифровании (всегда два раза проверяю написание этого слова).
Но очень хочется верить, что если это правильно донести до разработки, очень надеюсь, что мы скоро сможем увидеть использование этого подхода в приложениях.
Так что изучаем, продвигаем и используем! :D
😁5👍2🤡2
Это лучшее, что я читал и слышал за последнее время!
Спасибо @OxFi5t за прекрасный ресерч!
Если честно, боюсь представить, сколько приложений подвержено этой проблеме.. Учитывая, что согласно нашему последнему анализу, примерно каждое 4-е приложение использует Jetpack :)
Но думаю, очень скоро мы это узнаем))
Спасибо @OxFi5t за прекрасный ресерч!
Если честно, боюсь представить, сколько приложений подвержено этой проблеме.. Учитывая, что согласно нашему последнему анализу, примерно каждое 4-е приложение использует Jetpack :)
Но думаю, очень скоро мы это узнаем))
❤3
Forwarded from Android Guards
Опять Android, опять навигация. Я уже рассказывал вам про интересную технику эксплуатации уязвимости в библиотеке Jetpack Navigation, которую обнаружил мой коллега. Кто не читал, обязательно ознакомьтесь. В той статье шла речь про навигацию для приложений использующих фрагменты. Но проблема не только в них. Поэтому я решил посмотреть что там с расширением для Jetpack Compose и оказалось, что там все еще веселее. Техники эксплуатации этой уязвимости даже более простые, чем в предыдущем варианте. Исследование вышло в двух вариантах:
1. На английском языке в блоге PT SWARM
2. На русском языке в моем личном блоге
Надеюсь вам понравится.
1. На английском языке в блоге PT SWARM
2. На русском языке в моем личном блоге
Надеюсь вам понравится.
🔥8👍5
Forwarded from Поросёнок Пётр
Когда-то писал гайд о том как собрать iphone без ssl pinning. И вот случился момент, когда тестовое приложение не может работать ниже ios 16. Пришлось суетить. На помощь пришел старенький iphoneX. Оказывается его можно сделать rootfull практически без боли и страданий.
1) Берем iphone X. И обновляем до последней версии ios 16.7.10 стандартным обновлением. Можно и вручную накатить последнюю подписанную версию https://ipsw.me/
2) Дальше берем Macbook с разъемом usb-A и подключаем iphone через lightning провод. Пришлось поискать оригинальный.
3) После ставим Palera1n по инструкции на компьютер.
4) Запускаем в режиме palera1n -cf следуя инстркциям по зажиманию клавиш телефона. Потом мне еще потребовалось повторить palera1n -f.
5) Айфон получил palera1n app и возможность установить Sileo package manager.
6) Качаем последний релиз ssl-kill-switch3 , открываем через Sileo и выполняем установку пакета.
7) Ставим бурповый сертификат из http://bupr
Буквально спустя пару часов нашел critical. Все было не зря 🦾
1) Берем iphone X. И обновляем до последней версии ios 16.7.10 стандартным обновлением. Можно и вручную накатить последнюю подписанную версию https://ipsw.me/
2) Дальше берем Macbook с разъемом usb-A и подключаем iphone через lightning провод. Пришлось поискать оригинальный.
3) После ставим Palera1n по инструкции на компьютер.
4) Запускаем в режиме palera1n -cf следуя инстркциям по зажиманию клавиш телефона. Потом мне еще потребовалось повторить palera1n -f.
5) Айфон получил palera1n app и возможность установить Sileo package manager.
6) Качаем последний релиз ssl-kill-switch3 , открываем через Sileo и выполняем установку пакета.
7) Ставим бурповый сертификат из http://bupr
Буквально спустя пару часов нашел critical. Все было не зря 🦾
👍7❤3🔥2
До встречи на OFFZone 2024
А мы активно готовимся к стенду на OFFZone 2024 :)
У MAW снова будет свой стенд в Community Zone!
А это значит, что вас ждут мобильный CTF, Своя Игра, Викторина и приятное общение!
Приходите все, я буду очень очень рад увидеться и поболтать!
А мы активно готовимся к стенду на OFFZone 2024 :)
У MAW снова будет свой стенд в Community Zone!
А это значит, что вас ждут мобильный CTF, Своя Игра, Викторина и приятное общение!
Приходите все, я буду очень очень рад увидеться и поболтать!
🔥7