Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

"В поисках уязвимостей мобильных приложений", Алексей Голубев

212 views

Published on

Сейчас практически каждая организация помимо официального веб сайта имеет мобильное приложения для предоставления услуг мобильным пользователям. При этом в отличии от традиционных веб сайтов, которые в большинстве своем использую готовые фреймворки, очищенные от уязвимостей, мобильное API зачастую проектируется отдельно под каждый проект. Такой подход неизбежно ведет за собой разного рода ошибки и отсутствие четкой стандартизации. Тем не менее разработчики от Ebay до мелких компаний совершают одни и те же ошибки, которые ведут к взлому аккаунтов, утечки данных, спаму пользователей и т.д. Недоработки в работе в этой среде процветает даже у огромных компаний.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

"В поисках уязвимостей мобильных приложений", Алексей Голубев

  1. 1. Настоящий детектив. В поисках уязвимостей мобильных приложений. Голубев Алексей .NET developer @ Ukad
  2. 2. Кто вы, мистер Брукс?
  3. 3. Кто вы, мистер Брукс?
  4. 4. Введение в reverse engineering 1. APK = ZIP
  5. 5. Введение в reverse engineering 2. .dex <=> .smali
  6. 6. Рабочая среда для reverse engineering 1. APKtool 2. dex2jar 3. Java декомпиляторы 4. Singer
  7. 7. Защита от reverse engineering 1. Обфускация Snapchat
  8. 8. Защита от reverse engineering 2. Сокрытие стрингов WhatsApp
  9. 9. Перехват трафика лайк в Tinder
  10. 10. Защита от перехвата трафика отключение проверки сертификата
  11. 11. Защита от перехвата трафика Signature - подпись запроса, для защиты от изменения. пример соли одного из приложений
  12. 12. Защита от перехвата трафика ebay 4pp
  13. 13. Альтернативные методы передачи трафика 1. XMPP (Мессенджеры) 2. Sockets с шифрованием.
  14. 14. Ошибки в логике 1. Неограниченное количество запросов 2. Возможности для спама 3. Подмена данных 4. Выдача личных данных 5. Работоспоспособные старые версии API.
  15. 15. Голубев Алексей golubevalex90@gmail.com +38 099 07 88 280 facebook.com/a1eksg Спасибо за внимание!

×