ݺߣ

ݺߣShare a Scribd company logo

СВЯТ ЛОГІН «Що можна витягнути з мобільних додатків»

Download as PPTX, PDF
QADay
QADay

Online QADay 2024 #2 СВЯТ ЛОГІН «Що можна витягнути з мобільних додатків» https://linktr.ee/qadayua

1 of 31
Downloaded 15 times
Що можна витягнути з мобільних додатків
- Head of gangsta QA - Більше 6 рочків тестую на вразливості Web та Mob - Більше 11 рочків в тестуванні - Проводжу навчання по Security - Веду блог по Security testing https://svyat.tech - Веду телеграм канал https://t.me/qa_security Свят Логин
СВЯТ ЛОГІН «Що можна витягнути з мобільних додатків»
https://github.com/reddelexc/hackerone-reports/blob/master/tops_by_bug_type/TOPMOBILE.md ВСТУП Винагороди
ВСТУП Що ламають більше?
ВСТУП
Reverse Engineering
СВЯТ ЛОГІН «Що можна витягнути з мобільних додатків»
docker kali@kali:~$ sudo apt update kali@kali:~$ kali@kali:~$ sudo apt install -y docker.io kali@kali:~$ kali@kali:~$ sudo systemctl enable docker --now kali@kali:~$ kali@kali:~$ docker https://www.kali.org/docs/containers/installing-docker-on-kali/ https://docs.docker.com/desktop/install/mac-install/
MobSF sudo docker run -it --rm -p 8000:8000 opensecurity/mobile- security-framework-mobsf:latest https://mobsf.github.io/docs/#/docker git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git cd Mobile-Security-Framework-MobSF docker build -t mobsf . docker run -it --rm -p 8000:8000 mobsf
MobSF - використання
Unzipping Archive M9 Reverse Engineering
ВСТУП IOS ● App binary: виконуваний файл, що містить скомпільований (нечитабельний) вихідний код програми. ● Info.plist: інформація про конфігурацію, наприклад ідентифікатор пакета, номер версії та відображувана назва програми. ● Frameworks: список динамічних бібліотек. ● Embedded.mobileprovsion: це сертифікати. File Structure Android ● Classes.dex: файли містять байт-код програми, який може виконуватися на віртуальній машині Dalvik або ART (Android Runtime). ● AndroidManifest.xml: є конфігураційним файлом додатка. Він визначає основні характеристики програми ● meta-inf: Ця папка містить інформацію про сертифікати та підписи APK ● res: це папка, яка містить незкомпільовані ресурси додатка ● assets: це папка, в якій розробники можуть зберігати будь-які нестандартні файли або ресурси ● lib: папка містить нативні бібліотеки, які були написані для платформи Android
M9 Reverse Engineering M9 Reverse Engineering
Improper Platform Usage
СВЯТ ЛОГІН «Що можна витягнути з мобільних додатків»
Insecure Data Storage
Local Data Storage Android
Local Data Storage IOS
● Хешувати URL (как запроса, так и ответа); ● Хешувати натискання кнопок; ● Хешувати буфер копі / вставки; ● Хешувати проміжні дані; ● Перевіряти функції логування; ● Перевіряти дані аналітики на відправку третім сторонам. Local Data Storage
Biometric authentication
Biometric authentication
Є 2 різні реалізації - Тільки локальна структура аутентифікації (LAContext) - LAContext разом з KeyChain Services Додаток зберігає або секретний токен аутентифікації, або якусь частину секретних даних, що ідентифікують користувача в ланцюжку ключів. Дійсний набір біометричних даних зберігається в безпечному анклаві для розшифровування запису ланцюжка ключа. За рахунок цього не можна обійти на заламаних пристроях MSTG https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06f-testing-local-au thentication Biometric authentication Захист
СВЯТ ЛОГІН «Що можна витягнути з мобільних додатків»
СВЯТ ЛОГІН «Що можна витягнути з мобільних додатків»
https://apps.evozi.com/apk-downloader/
СВЯТ ЛОГІН «Що можна витягнути з мобільних додатків»
СВЯТ ЛОГІН «Що можна витягнути з мобільних додатків»
Аналіз трафіка
nuclei -t http/tokenspray -var token=AIzaSyCI0wS69-6XAxCVDKBozccalLz6fRIaCfc
Дякую за увагу svyat.login@gmail.com https://svyat.tech/ @qa_security

Recommended

GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...
GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...
GlobalLogic Test Automation Live Testing Session “Android Behind UI — Testing...
GlobalLogic Ukraine
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
"Request Lifecycle at Prom.ua", Vitaliy Kharytonskiy
Fwdays
"Rethinking Continuous Delivery", Andrii Nasinnyk
"Rethinking Continuous Delivery", Andrii Nasinnyk"Rethinking Continuous Delivery", Andrii Nasinnyk
"Rethinking Continuous Delivery", Andrii Nasinnyk
Fwdays
вашенюк
вашенюквашенюк
вашенюк
Oleg Nazarevych
Казьмірчук Р.Р. (06.03.2012)
Казьмірчук Р.Р. (06.03.2012)Казьмірчук Р.Р. (06.03.2012)
Казьмірчук Р.Р. (06.03.2012)
garasym
Лекція-Ҿ-репозиторій-робота-з-гілками.ٳ
Лекція-Ҿ-репозиторій-робота-з-гілками.ٳЛекція-Ҿ-репозиторій-робота-з-гілками.ٳ
Лекція-Ҿ-репозиторій-робота-з-гілками.ٳ
ssuser78fc9e
Порівняння Drupal та Typo3
Порівняння Drupal та Typo3Порівняння Drupal та Typo3
Порівняння Drupal та Typo3
Drupal Camp Kyiv
порівняння Drupal та Typo3
порівняння Drupal та Typo3порівняння Drupal та Typo3
порівняння Drupal та Typo3
Inna Tuyeva
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Vladyslav Radetsky
iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)
Anatoliy Okhotnikov
Розгортання середовища для Camunda
Розгортання середовища для CamundaРозгортання середовища для Camunda
Розгортання середовища для Camunda
Святослав Надозирний
Jenkins CI (ukr)
Jenkins CI (ukr)Jenkins CI (ukr)
Jenkins CI (ukr)
Anatoliy Okhotnikov
UA.SC 2017: Безпека вашого публічного API
UA.SC 2017: Безпека вашого публічного APIUA.SC 2017: Безпека вашого публічного API
UA.SC 2017: Безпека вашого публічного API
Oleks Maistrenko
5 Підсистема введення/виведення. OPC
5 Підсистема введення/виведення. OPC5 Підсистема введення/виведення. OPC
5 Підсистема введення/виведення. OPC
Пупена Александр
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentest
Glib Pakharenko
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk "Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
Fwdays
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ..."Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
Fwdays
System programing module 1
System programing module 1System programing module 1
System programing module 1
Andrii Hladkyi
Як покращити Python web UI тести
Як покращити Python web UI тестиЯк покращити Python web UI тести
Як покращити Python web UI тести
RomanPobotin1
Корнілов Андрій
Корнілов АндрійКорнілов Андрій
Корнілов Андрій
Oleg Nazarevych
Igor Dumbur: Інженерна досконалість та DevOps(UA)
Igor Dumbur: Інженерна досконалість та DevOps(UA)Igor Dumbur: Інженерна досконалість та DevOps(UA)
Igor Dumbur: Інженерна досконалість та DevOps(UA)
content75
System programing module 1. Processes
System programing module 1. ProcessesSystem programing module 1. Processes
System programing module 1. Processes
Andrii Hladkyi
Computers and Computing Works lecture №7
Computers and Computing Works lecture №7Computers and Computing Works lecture №7
Computers and Computing Works lecture №7
Lesia Sobolevska
Android: Інструменти програміста
Android: Інструменти програмістаAndroid: Інструменти програміста
Android: Інструменти програміста
Anatoliy Odukha
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнНевивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війн
Vladyslav Radetsky
Continious integration jet brains teamcity. Віталій Галушка
Continious integration jet brains teamcity. Віталій ГалушкаContinious integration jet brains teamcity. Віталій Галушка
Continious integration jet brains teamcity. Віталій Галушка
HRdepartment
"How we optimized our product without paid solutions", Dmytro Nemesh
"How we optimized our product without paid solutions", Dmytro Nemesh"How we optimized our product without paid solutions", Dmytro Nemesh
"How we optimized our product without paid solutions", Dmytro Nemesh
Fwdays
Grok web application framework
Grok web application frameworkGrok web application framework
Grok web application framework
Quintagroup
РАМЕЛЛА БАСЕНКО - Tехніки тест дизайну в дії: розбір задач та корисні поради...
РАМЕЛЛА БАСЕНКО - Tехніки тест дизайну в дії: розбір задач та корисні поради...РАМЕЛЛА БАСЕНКО - Tехніки тест дизайну в дії: розбір задач та корисні поради...
РАМЕЛЛА БАСЕНКО - Tехніки тест дизайну в дії: розбір задач та корисні поради...
QADay
КАТЕРИНА АБЗЯТОВА - Tехніки тест дизайну в дії: розбір задач та корисні порад...
КАТЕРИНА АБЗЯТОВА - Tехніки тест дизайну в дії: розбір задач та корисні порад...КАТЕРИНА АБЗЯТОВА - Tехніки тест дизайну в дії: розбір задач та корисні порад...
КАТЕРИНА АБЗЯТОВА - Tехніки тест дизайну в дії: розбір задач та корисні порад...
QADay

More Related Content

Similar to СВЯТ ЛОГІН «Що можна витягнути з мобільних додатків» (20)

Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Vladyslav Radetsky
iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)
Anatoliy Okhotnikov
Розгортання середовища для Camunda
Розгортання середовища для CamundaРозгортання середовища для Camunda
Розгортання середовища для Camunda
Святослав Надозирний
Jenkins CI (ukr)
Jenkins CI (ukr)Jenkins CI (ukr)
Jenkins CI (ukr)
Anatoliy Okhotnikov
UA.SC 2017: Безпека вашого публічного API
UA.SC 2017: Безпека вашого публічного APIUA.SC 2017: Безпека вашого публічного API
UA.SC 2017: Безпека вашого публічного API
Oleks Maistrenko
5 Підсистема введення/виведення. OPC
5 Підсистема введення/виведення. OPC5 Підсистема введення/виведення. OPC
5 Підсистема введення/виведення. OPC
Пупена Александр
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentest
Glib Pakharenko
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk "Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
Fwdays
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ..."Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
Fwdays
System programing module 1
System programing module 1System programing module 1
System programing module 1
Andrii Hladkyi
Як покращити Python web UI тести
Як покращити Python web UI тестиЯк покращити Python web UI тести
Як покращити Python web UI тести
RomanPobotin1
Корнілов Андрій
Корнілов АндрійКорнілов Андрій
Корнілов Андрій
Oleg Nazarevych
Igor Dumbur: Інженерна досконалість та DevOps(UA)
Igor Dumbur: Інженерна досконалість та DevOps(UA)Igor Dumbur: Інженерна досконалість та DevOps(UA)
Igor Dumbur: Інженерна досконалість та DevOps(UA)
content75
System programing module 1. Processes
System programing module 1. ProcessesSystem programing module 1. Processes
System programing module 1. Processes
Andrii Hladkyi
Computers and Computing Works lecture №7
Computers and Computing Works lecture №7Computers and Computing Works lecture №7
Computers and Computing Works lecture №7
Lesia Sobolevska
Android: Інструменти програміста
Android: Інструменти програмістаAndroid: Інструменти програміста
Android: Інструменти програміста
Anatoliy Odukha
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнНевивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війн
Vladyslav Radetsky
Continious integration jet brains teamcity. Віталій Галушка
Continious integration jet brains teamcity. Віталій ГалушкаContinious integration jet brains teamcity. Віталій Галушка
Continious integration jet brains teamcity. Віталій Галушка
HRdepartment
"How we optimized our product without paid solutions", Dmytro Nemesh
"How we optimized our product without paid solutions", Dmytro Nemesh"How we optimized our product without paid solutions", Dmytro Nemesh
"How we optimized our product without paid solutions", Dmytro Nemesh
Fwdays
Grok web application framework
Grok web application frameworkGrok web application framework
Grok web application framework
Quintagroup
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXLРобота із malware. McAfee ATD+TIE+DXL/OpenDXL
Робота із malware. McAfee ATD+TIE+DXL/OpenDXL
Vladyslav Radetsky
iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)iPhone Objective-C Development (ukr) (2009)
iPhone Objective-C Development (ukr) (2009)
Anatoliy Okhotnikov
Розгортання середовища для Camunda
Розгортання середовища для CamundaРозгортання середовища для Camunda
Розгортання середовища для Camunda
Святослав Надозирний
Jenkins CI (ukr)
Jenkins CI (ukr)Jenkins CI (ukr)
Jenkins CI (ukr)
Anatoliy Okhotnikov
UA.SC 2017: Безпека вашого публічного API
UA.SC 2017: Безпека вашого публічного APIUA.SC 2017: Безпека вашого публічного API
UA.SC 2017: Безпека вашого публічного API
Oleks Maistrenko
5 Підсистема введення/виведення. OPC
5 Підсистема введення/виведення. OPC5 Підсистема введення/виведення. OPC
5 Підсистема введення/виведення. OPC
Пупена Александр
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentest
Glib Pakharenko
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk "Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
Fwdays
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ..."Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
"Laravel Tips & Tricks - 7 Steps to Dramatically Improve Performance", Yehor ...
Fwdays
System programing module 1
System programing module 1System programing module 1
System programing module 1
Andrii Hladkyi
Як покращити Python web UI тести
Як покращити Python web UI тестиЯк покращити Python web UI тести
Як покращити Python web UI тести
RomanPobotin1
Корнілов Андрій
Корнілов АндрійКорнілов Андрій
Корнілов Андрій
Oleg Nazarevych
Igor Dumbur: Інженерна досконалість та DevOps(UA)
Igor Dumbur: Інженерна досконалість та DevOps(UA)Igor Dumbur: Інженерна досконалість та DevOps(UA)
Igor Dumbur: Інженерна досконалість та DevOps(UA)
content75
System programing module 1. Processes
System programing module 1. ProcessesSystem programing module 1. Processes
System programing module 1. Processes
Andrii Hladkyi
Computers and Computing Works lecture №7
Computers and Computing Works lecture №7Computers and Computing Works lecture №7
Computers and Computing Works lecture №7
Lesia Sobolevska
Android: Інструменти програміста
Android: Інструменти програмістаAndroid: Інструменти програміста
Android: Інструменти програміста
Anatoliy Odukha
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнНевивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війн
Vladyslav Radetsky
Continious integration jet brains teamcity. Віталій Галушка
Continious integration jet brains teamcity. Віталій ГалушкаContinious integration jet brains teamcity. Віталій Галушка
Continious integration jet brains teamcity. Віталій Галушка
HRdepartment
"How we optimized our product without paid solutions", Dmytro Nemesh
"How we optimized our product without paid solutions", Dmytro Nemesh"How we optimized our product without paid solutions", Dmytro Nemesh
"How we optimized our product without paid solutions", Dmytro Nemesh
Fwdays
Grok web application framework
Grok web application frameworkGrok web application framework
Grok web application framework
Quintagroup

More from QADay (20)

РАМЕЛЛА БАСЕНКО - Tехніки тест дизайну в дії: розбір задач та корисні поради...
РАМЕЛЛА БАСЕНКО - Tехніки тест дизайну в дії: розбір задач та корисні поради...РАМЕЛЛА БАСЕНКО - Tехніки тест дизайну в дії: розбір задач та корисні поради...
РАМЕЛЛА БАСЕНКО - Tехніки тест дизайну в дії: розбір задач та корисні поради...
QADay
КАТЕРИНА АБЗЯТОВА - Tехніки тест дизайну в дії: розбір задач та корисні порад...
КАТЕРИНА АБЗЯТОВА - Tехніки тест дизайну в дії: розбір задач та корисні порад...КАТЕРИНА АБЗЯТОВА - Tехніки тест дизайну в дії: розбір задач та корисні порад...
КАТЕРИНА АБЗЯТОВА - Tехніки тест дизайну в дії: розбір задач та корисні порад...
QADay
ЮРІЙ БАЖАН «Один спринт з життя тестувальника»
ЮРІЙ БАЖАН «Один спринт з життя тестувальника»ЮРІЙ БАЖАН «Один спринт з життя тестувальника»
ЮРІЙ БАЖАН «Один спринт з життя тестувальника»
QADay
АЛЛА ПЕНАЛЬБА «QA automation, the secret weapon that need (a) manual»
АЛЛА ПЕНАЛЬБА «QA automation, the secret weapon that need (a) manual»АЛЛА ПЕНАЛЬБА «QA automation, the secret weapon that need (a) manual»
АЛЛА ПЕНАЛЬБА «QA automation, the secret weapon that need (a) manual»
QADay
ЮРІЙ МАЛИЙ «QA метрики в процесі SDLC»..
ЮРІЙ МАЛИЙ «QA метрики в процесі SDLC»..ЮРІЙ МАЛИЙ «QA метрики в процесі SDLC»..
ЮРІЙ МАЛИЙ «QA метрики в процесі SDLC»..
QADay
АНДРІЙ ЗАБЛОЦЬКИЙ « Досвід побудови сильної та ефективної QA команди»
АНДРІЙ ЗАБЛОЦЬКИЙ « Досвід побудови сильної та ефективної QA команди»АНДРІЙ ЗАБЛОЦЬКИЙ « Досвід побудови сильної та ефективної QA команди»
АНДРІЙ ЗАБЛОЦЬКИЙ « Досвід побудови сильної та ефективної QA команди»
QADay
РІНА УЖЕВКО «Тестування локалізації та терміни в Gamedev»
РІНА УЖЕВКО «Тестування локалізації та терміни в Gamedev»РІНА УЖЕВКО «Тестування локалізації та терміни в Gamedev»
РІНА УЖЕВКО «Тестування локалізації та терміни в Gamedev»
QADay
КАТЕРИНА АБЗЯТОВА «Від бар’єрів до мостів: Важливість Accessibility Testing»
КАТЕРИНА АБЗЯТОВА «Від бар’єрів до мостів: Важливість Accessibility Testing»КАТЕРИНА АБЗЯТОВА «Від бар’єрів до мостів: Важливість Accessibility Testing»
КАТЕРИНА АБЗЯТОВА «Від бар’єрів до мостів: Важливість Accessibility Testing»
QADay
ЄВГЕН ГАЙДАЙ «Виділена команда автоматизації тестування. Досвід підтримки та ...
ЄВГЕН ГАЙДАЙ «Виділена команда автоматизації тестування. Досвід підтримки та ...ЄВГЕН ГАЙДАЙ «Виділена команда автоматизації тестування. Досвід підтримки та ...
ЄВГЕН ГАЙДАЙ «Виділена команда автоматизації тестування. Досвід підтримки та ...
QADay
АНАСТАСІЯ ЧУДОВСЬКА «Переїзд з моноліта на мікросервіси з точки зору QA: як ...
АНАСТАСІЯ ЧУДОВСЬКА «Переїзд з моноліта на мікросервіси з точки зору QA: як ...АНАСТАСІЯ ЧУДОВСЬКА «Переїзд з моноліта на мікросервіси з точки зору QA: як ...
АНАСТАСІЯ ЧУДОВСЬКА «Переїзд з моноліта на мікросервіси з точки зору QA: як ...
QADay
СОФІЯ НОВАЧЕНКО «Успішне поєднання QA/BA обовʼязків»
СОФІЯ НОВАЧЕНКО «Успішне поєднання QA/BA обовʼязків»СОФІЯ НОВАЧЕНКО «Успішне поєднання QA/BA обовʼязків»
СОФІЯ НОВАЧЕНКО «Успішне поєднання QA/BA обовʼязків»
QADay
ОЛЕНА НІКІТІНА «Глибинне занурення в процеси тестування: від документації до ...
ОЛЕНА НІКІТІНА «Глибинне занурення в процеси тестування: від документації до ...ОЛЕНА НІКІТІНА «Глибинне занурення в процеси тестування: від документації до ...
ОЛЕНА НІКІТІНА «Глибинне занурення в процеси тестування: від документації до ...
QADay
ОЛЕСЬ НІКАНЮК «Особливості тестування в міжнародних організаціях: досвід та в...
ОЛЕСЬ НІКАНЮК «Особливості тестування в міжнародних організаціях: досвід та в...ОЛЕСЬ НІКАНЮК «Особливості тестування в міжнародних організаціях: досвід та в...
ОЛЕСЬ НІКАНЮК «Особливості тестування в міжнародних організаціях: досвід та в...
QADay
ОЛЕГ ЗАРЕВИЧ «Взаємодії між DevOps і QA»
ОЛЕГ ЗАРЕВИЧ «Взаємодії між DevOps і QA»ОЛЕГ ЗАРЕВИЧ «Взаємодії між DevOps і QA»
ОЛЕГ ЗАРЕВИЧ «Взаємодії між DevOps і QA»
QADay
ГАННА КАПЛУН «Тестування на основі персон: ідея, інструменти, приклади»
ГАННА КАПЛУН «Тестування на основі персон: ідея, інструменти, приклади»ГАННА КАПЛУН «Тестування на основі персон: ідея, інструменти, приклади»
ГАННА КАПЛУН «Тестування на основі персон: ідея, інструменти, приклади»
QADay
НАТАЛІЯ КРИВОНІС «Необхідні навички для керування командою»
НАТАЛІЯ КРИВОНІС «Необхідні навички для керування командою»НАТАЛІЯ КРИВОНІС «Необхідні навички для керування командою»
НАТАЛІЯ КРИВОНІС «Необхідні навички для керування командою»
QADay
ОКСАНА ВЕРЕТЮК «Effective project quality check або як успішно налагодити про...
ОКСАНА ВЕРЕТЮК «Effective project quality check або як успішно налагодити про...ОКСАНА ВЕРЕТЮК «Effective project quality check або як успішно налагодити про...
ОКСАНА ВЕРЕТЮК «Effective project quality check або як успішно налагодити про...
QADay
ВІТАЛІЙ МИХАЙЛЮК «Онбордінг нових тестерів до команди: як ефективно навчати і...
ВІТАЛІЙ МИХАЙЛЮК «Онбордінг нових тестерів до команди: як ефективно навчати і...ВІТАЛІЙ МИХАЙЛЮК «Онбордінг нових тестерів до команди: як ефективно навчати і...
ВІТАЛІЙ МИХАЙЛЮК «Онбордінг нових тестерів до команди: як ефективно навчати і...
QADay
СОФІЯ КОГУТ «Ентузіазм і мотивація на тривалих проектах: стратегії уникнення ...
СОФІЯ КОГУТ «Ентузіазм і мотивація на тривалих проектах: стратегії уникнення ...СОФІЯ КОГУТ «Ентузіазм і мотивація на тривалих проектах: стратегії уникнення ...
СОФІЯ КОГУТ «Ентузіазм і мотивація на тривалих проектах: стратегії уникнення ...
QADay
МАРИНА ШУЛЬГА «(Тест) Менеджер іноземних продуктових компаній: як вийти за ра...
МАРИНА ШУЛЬГА «(Тест) Менеджер іноземних продуктових компаній: як вийти за ра...МАРИНА ШУЛЬГА «(Тест) Менеджер іноземних продуктових компаній: як вийти за ра...
МАРИНА ШУЛЬГА «(Тест) Менеджер іноземних продуктових компаній: як вийти за ра...
QADay
РАМЕЛЛА БАСЕНКО - Tехніки тест дизайну в дії: розбір задач та корисні поради...
РАМЕЛЛА БАСЕНКО - Tехніки тест дизайну в дії: розбір задач та корисні поради...РАМЕЛЛА БАСЕНКО - Tехніки тест дизайну в дії: розбір задач та корисні поради...
РАМЕЛЛА БАСЕНКО - Tехніки тест дизайну в дії: розбір задач та корисні поради...
QADay
КАТЕРИНА АБЗЯТОВА - Tехніки тест дизайну в дії: розбір задач та корисні порад...
КАТЕРИНА АБЗЯТОВА - Tехніки тест дизайну в дії: розбір задач та корисні порад...КАТЕРИНА АБЗЯТОВА - Tехніки тест дизайну в дії: розбір задач та корисні порад...
КАТЕРИНА АБЗЯТОВА - Tехніки тест дизайну в дії: розбір задач та корисні порад...
QADay
ЮРІЙ БАЖАН «Один спринт з життя тестувальника»
ЮРІЙ БАЖАН «Один спринт з життя тестувальника»ЮРІЙ БАЖАН «Один спринт з життя тестувальника»
ЮРІЙ БАЖАН «Один спринт з життя тестувальника»
QADay
АЛЛА ПЕНАЛЬБА «QA automation, the secret weapon that need (a) manual»
АЛЛА ПЕНАЛЬБА «QA automation, the secret weapon that need (a) manual»АЛЛА ПЕНАЛЬБА «QA automation, the secret weapon that need (a) manual»
АЛЛА ПЕНАЛЬБА «QA automation, the secret weapon that need (a) manual»
QADay
ЮРІЙ МАЛИЙ «QA метрики в процесі SDLC»..
ЮРІЙ МАЛИЙ «QA метрики в процесі SDLC»..ЮРІЙ МАЛИЙ «QA метрики в процесі SDLC»..
ЮРІЙ МАЛИЙ «QA метрики в процесі SDLC»..
QADay
АНДРІЙ ЗАБЛОЦЬКИЙ « Досвід побудови сильної та ефективної QA команди»
АНДРІЙ ЗАБЛОЦЬКИЙ « Досвід побудови сильної та ефективної QA команди»АНДРІЙ ЗАБЛОЦЬКИЙ « Досвід побудови сильної та ефективної QA команди»
АНДРІЙ ЗАБЛОЦЬКИЙ « Досвід побудови сильної та ефективної QA команди»
QADay
РІНА УЖЕВКО «Тестування локалізації та терміни в Gamedev»
РІНА УЖЕВКО «Тестування локалізації та терміни в Gamedev»РІНА УЖЕВКО «Тестування локалізації та терміни в Gamedev»
РІНА УЖЕВКО «Тестування локалізації та терміни в Gamedev»
QADay
КАТЕРИНА АБЗЯТОВА «Від бар’єрів до мостів: Важливість Accessibility Testing»
КАТЕРИНА АБЗЯТОВА «Від бар’єрів до мостів: Важливість Accessibility Testing»КАТЕРИНА АБЗЯТОВА «Від бар’єрів до мостів: Важливість Accessibility Testing»
КАТЕРИНА АБЗЯТОВА «Від бар’єрів до мостів: Важливість Accessibility Testing»
QADay
ЄВГЕН ГАЙДАЙ «Виділена команда автоматизації тестування. Досвід підтримки та ...
ЄВГЕН ГАЙДАЙ «Виділена команда автоматизації тестування. Досвід підтримки та ...ЄВГЕН ГАЙДАЙ «Виділена команда автоматизації тестування. Досвід підтримки та ...
ЄВГЕН ГАЙДАЙ «Виділена команда автоматизації тестування. Досвід підтримки та ...
QADay
АНАСТАСІЯ ЧУДОВСЬКА «Переїзд з моноліта на мікросервіси з точки зору QA: як ...
АНАСТАСІЯ ЧУДОВСЬКА «Переїзд з моноліта на мікросервіси з точки зору QA: як ...АНАСТАСІЯ ЧУДОВСЬКА «Переїзд з моноліта на мікросервіси з точки зору QA: як ...
АНАСТАСІЯ ЧУДОВСЬКА «Переїзд з моноліта на мікросервіси з точки зору QA: як ...
QADay
СОФІЯ НОВАЧЕНКО «Успішне поєднання QA/BA обовʼязків»
СОФІЯ НОВАЧЕНКО «Успішне поєднання QA/BA обовʼязків»СОФІЯ НОВАЧЕНКО «Успішне поєднання QA/BA обовʼязків»
СОФІЯ НОВАЧЕНКО «Успішне поєднання QA/BA обовʼязків»
QADay
ОЛЕНА НІКІТІНА «Глибинне занурення в процеси тестування: від документації до ...
ОЛЕНА НІКІТІНА «Глибинне занурення в процеси тестування: від документації до ...ОЛЕНА НІКІТІНА «Глибинне занурення в процеси тестування: від документації до ...
ОЛЕНА НІКІТІНА «Глибинне занурення в процеси тестування: від документації до ...
QADay
ОЛЕСЬ НІКАНЮК «Особливості тестування в міжнародних організаціях: досвід та в...
ОЛЕСЬ НІКАНЮК «Особливості тестування в міжнародних організаціях: досвід та в...ОЛЕСЬ НІКАНЮК «Особливості тестування в міжнародних організаціях: досвід та в...
ОЛЕСЬ НІКАНЮК «Особливості тестування в міжнародних організаціях: досвід та в...
QADay
ОЛЕГ ЗАРЕВИЧ «Взаємодії між DevOps і QA»
ОЛЕГ ЗАРЕВИЧ «Взаємодії між DevOps і QA»ОЛЕГ ЗАРЕВИЧ «Взаємодії між DevOps і QA»
ОЛЕГ ЗАРЕВИЧ «Взаємодії між DevOps і QA»
QADay
ГАННА КАПЛУН «Тестування на основі персон: ідея, інструменти, приклади»
ГАННА КАПЛУН «Тестування на основі персон: ідея, інструменти, приклади»ГАННА КАПЛУН «Тестування на основі персон: ідея, інструменти, приклади»
ГАННА КАПЛУН «Тестування на основі персон: ідея, інструменти, приклади»
QADay
НАТАЛІЯ КРИВОНІС «Необхідні навички для керування командою»
НАТАЛІЯ КРИВОНІС «Необхідні навички для керування командою»НАТАЛІЯ КРИВОНІС «Необхідні навички для керування командою»
НАТАЛІЯ КРИВОНІС «Необхідні навички для керування командою»
QADay
ОКСАНА ВЕРЕТЮК «Effective project quality check або як успішно налагодити про...
ОКСАНА ВЕРЕТЮК «Effective project quality check або як успішно налагодити про...ОКСАНА ВЕРЕТЮК «Effective project quality check або як успішно налагодити про...
ОКСАНА ВЕРЕТЮК «Effective project quality check або як успішно налагодити про...
QADay
ВІТАЛІЙ МИХАЙЛЮК «Онбордінг нових тестерів до команди: як ефективно навчати і...
ВІТАЛІЙ МИХАЙЛЮК «Онбордінг нових тестерів до команди: як ефективно навчати і...ВІТАЛІЙ МИХАЙЛЮК «Онбордінг нових тестерів до команди: як ефективно навчати і...
ВІТАЛІЙ МИХАЙЛЮК «Онбордінг нових тестерів до команди: як ефективно навчати і...
QADay
СОФІЯ КОГУТ «Ентузіазм і мотивація на тривалих проектах: стратегії уникнення ...
СОФІЯ КОГУТ «Ентузіазм і мотивація на тривалих проектах: стратегії уникнення ...СОФІЯ КОГУТ «Ентузіазм і мотивація на тривалих проектах: стратегії уникнення ...
СОФІЯ КОГУТ «Ентузіазм і мотивація на тривалих проектах: стратегії уникнення ...
QADay
МАРИНА ШУЛЬГА «(Тест) Менеджер іноземних продуктових компаній: як вийти за ра...
МАРИНА ШУЛЬГА «(Тест) Менеджер іноземних продуктових компаній: як вийти за ра...МАРИНА ШУЛЬГА «(Тест) Менеджер іноземних продуктових компаній: як вийти за ра...
МАРИНА ШУЛЬГА «(Тест) Менеджер іноземних продуктових компаній: як вийти за ра...
QADay

Recently uploaded (13)

КРИК ПРО ДОПОМОГУ Презентація (тренінг).pptx
КРИК ПРО ДОПОМОГУ Презентація (тренінг).pptxКРИК ПРО ДОПОМОГУ Презентація (тренінг).pptx
КРИК ПРО ДОПОМОГУ Презентація (тренінг).pptx
ssusercc73e0
Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....
Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....
Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....
JurgenstiX
«ЧАРІВНА СКРИНЬКА КАЗОК МИКОЛИ ЗІНЧУКА»: віртуальна книжкова виставка до 100-...
«ЧАРІВНА СКРИНЬКА КАЗОК МИКОЛИ ЗІНЧУКА»: віртуальна книжкова виставка до 100-...«ЧАРІВНА СКРИНЬКА КАЗОК МИКОЛИ ЗІНЧУКА»: віртуальна книжкова виставка до 100-...
«ЧАРІВНА СКРИНЬКА КАЗОК МИКОЛИ ЗІНЧУКА»: віртуальна книжкова виставка до 100-...
Чернівецька обласна бібліотека для дітей
Ми проти насилля. Презентація до тижня протидії булінгу
Ми проти насилля. Презентація до тижня протидії булінгуМи проти насилля. Презентація до тижня протидії булінгу
Ми проти насилля. Презентація до тижня протидії булінгу
ssusercc73e0
Румунія у міжвоєнний дададад період.pptx
Румунія у міжвоєнний дададад період.pptxРумунія у міжвоєнний дададад період.pptx
Румунія у міжвоєнний дададад період.pptx
dedkenzo
Особливості економіки країн Америки. Первинний сектор економіки..pptx
Особливості економіки країн Америки. Первинний сектор економіки..pptxОсобливості економіки країн Америки. Первинний сектор економіки..pptx
Особливості економіки країн Америки. Первинний сектор економіки..pptx
JurgenstiX
Презентація. Стадії психологічного стресу.pptx
Презентація. Стадії психологічного стресу.pptxПрезентація. Стадії психологічного стресу.pptx
Презентація. Стадії психологічного стресу.pptx
ssusercc73e0
Фінансовий звіт станом на січень 2025 року.pdf
Фінансовий звіт станом на січень 2025 року.pdfФінансовий звіт станом на січень 2025 року.pdf
Фінансовий звіт станом на січень 2025 року.pdf
Назарій Середа
Фінансовий звіт станом на січень 2025 року.pdf
Фінансовий звіт станом на січень 2025 року.pdfФінансовий звіт станом на січень 2025 року.pdf
Фінансовий звіт станом на січень 2025 року.pdf
Назарій Середа
Безпека дитини в мережі інтернет_презентація
Безпека дитини в мережі інтернет_презентаціяБезпека дитини в мережі інтернет_презентація
Безпека дитини в мережі інтернет_презентація
ssusercc73e0
Третя річниця національного спротиву російській збройній агресії
Третя річниця національного спротиву російській збройній агресіїТретя річниця національного спротиву російській збройній агресії
Третя річниця національного спротиву російській збройній агресії
ostrovskogo1898
Презентація Інституту геодезії 2025 НУЛП
Презентація Інституту геодезії 2025 НУЛППрезентація Інституту геодезії 2025 НУЛП
Презентація Інституту геодезії 2025 НУЛП
Anatoliy13
Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....
Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....
Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....
JurgenstiX
КРИК ПРО ДОПОМОГУ Презентація (тренінг).pptx
КРИК ПРО ДОПОМОГУ Презентація (тренінг).pptxКРИК ПРО ДОПОМОГУ Презентація (тренінг).pptx
КРИК ПРО ДОПОМОГУ Презентація (тренінг).pptx
ssusercc73e0
Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....
Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....
Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....
JurgenstiX
«ЧАРІВНА СКРИНЬКА КАЗОК МИКОЛИ ЗІНЧУКА»: віртуальна книжкова виставка до 100-...
«ЧАРІВНА СКРИНЬКА КАЗОК МИКОЛИ ЗІНЧУКА»: віртуальна книжкова виставка до 100-...«ЧАРІВНА СКРИНЬКА КАЗОК МИКОЛИ ЗІНЧУКА»: віртуальна книжкова виставка до 100-...
«ЧАРІВНА СКРИНЬКА КАЗОК МИКОЛИ ЗІНЧУКА»: віртуальна книжкова виставка до 100-...
Чернівецька обласна бібліотека для дітей
Ми проти насилля. Презентація до тижня протидії булінгу
Ми проти насилля. Презентація до тижня протидії булінгуМи проти насилля. Презентація до тижня протидії булінгу
Ми проти насилля. Презентація до тижня протидії булінгу
ssusercc73e0
Румунія у міжвоєнний дададад період.pptx
Румунія у міжвоєнний дададад період.pptxРумунія у міжвоєнний дададад період.pptx
Румунія у міжвоєнний дададад період.pptx
dedkenzo
Особливості економіки країн Америки. Первинний сектор економіки..pptx
Особливості економіки країн Америки. Первинний сектор економіки..pptxОсобливості економіки країн Америки. Первинний сектор економіки..pptx
Особливості економіки країн Америки. Первинний сектор економіки..pptx
JurgenstiX
Презентація. Стадії психологічного стресу.pptx
Презентація. Стадії психологічного стресу.pptxПрезентація. Стадії психологічного стресу.pptx
Презентація. Стадії психологічного стресу.pptx
ssusercc73e0
Фінансовий звіт станом на січень 2025 року.pdf
Фінансовий звіт станом на січень 2025 року.pdfФінансовий звіт станом на січень 2025 року.pdf
Фінансовий звіт станом на січень 2025 року.pdf
Назарій Середа
Фінансовий звіт станом на січень 2025 року.pdf
Фінансовий звіт станом на січень 2025 року.pdfФінансовий звіт станом на січень 2025 року.pdf
Фінансовий звіт станом на січень 2025 року.pdf
Назарій Середа
Безпека дитини в мережі інтернет_презентація
Безпека дитини в мережі інтернет_презентаціяБезпека дитини в мережі інтернет_презентація
Безпека дитини в мережі інтернет_презентація
ssusercc73e0
Третя річниця національного спротиву російській збройній агресії
Третя річниця національного спротиву російській збройній агресіїТретя річниця національного спротиву російській збройній агресії
Третя річниця національного спротиву російській збройній агресії
ostrovskogo1898
Презентація Інституту геодезії 2025 НУЛП
Презентація Інституту геодезії 2025 НУЛППрезентація Інституту геодезії 2025 НУЛП
Презентація Інституту геодезії 2025 НУЛП
Anatoliy13
Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....
Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....
Дослідження № 4. Традиційні продукти харчування в Україні та країнах-сусідах....
JurgenstiX

СВЯТ ЛОГІН «Що можна витягнути з мобільних додатків»

  • 1. Що можна витягнути з мобільних додатків
  • 2. - Head of gangsta QA - Більше 6 рочків тестую на вразливості Web та Mob - Більше 11 рочків в тестуванні - Проводжу навчання по Security - Веду блог по Security testing https://svyat.tech - Веду телеграм канал https://t.me/qa_security Свят Логин
  • 9. docker kali@kali:~$ sudo apt update kali@kali:~$ kali@kali:~$ sudo apt install -y docker.io kali@kali:~$ kali@kali:~$ sudo systemctl enable docker --now kali@kali:~$ kali@kali:~$ docker https://www.kali.org/docs/containers/installing-docker-on-kali/ https://docs.docker.com/desktop/install/mac-install/
  • 10. MobSF sudo docker run -it --rm -p 8000:8000 opensecurity/mobile- security-framework-mobsf:latest https://mobsf.github.io/docs/#/docker git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git cd Mobile-Security-Framework-MobSF docker build -t mobsf . docker run -it --rm -p 8000:8000 mobsf
  • 13. ВСТУП IOS ● App binary: виконуваний файл, що містить скомпільований (нечитабельний) вихідний код програми. ● Info.plist: інформація про конфігурацію, наприклад ідентифікатор пакета, номер версії та відображувана назва програми. ● Frameworks: список динамічних бібліотек. ● Embedded.mobileprovsion: це сертифікати. File Structure Android ● Classes.dex: файли містять байт-код програми, який може виконуватися на віртуальній машині Dalvik або ART (Android Runtime). ● AndroidManifest.xml: є конфігураційним файлом додатка. Він визначає основні характеристики програми ● meta-inf: Ця папка містить інформацію про сертифікати та підписи APK ● res: це папка, яка містить незкомпільовані ресурси додатка ● assets: це папка, в якій розробники можуть зберігати будь-які нестандартні файли або ресурси ● lib: папка містить нативні бібліотеки, які були написані для платформи Android
  • 20. ● Хешувати URL (как запроса, так и ответа); ● Хешувати натискання кнопок; ● Хешувати буфер копі / вставки; ● Хешувати проміжні дані; ● Перевіряти функції логування; ● Перевіряти дані аналітики на відправку третім сторонам. Local Data Storage
  • 23. Є 2 різні реалізації - Тільки локальна структура аутентифікації (LAContext) - LAContext разом з KeyChain Services Додаток зберігає або секретний токен аутентифікації, або якусь частину секретних даних, що ідентифікують користувача в ланцюжку ключів. Дійсний набір біометричних даних зберігається в безпечному анклаві для розшифровування запису ланцюжка ключа. За рахунок цього не можна обійти на заламаних пристроях MSTG https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06f-testing-local-au thentication Biometric authentication Захист
  • 30. nuclei -t http/tokenspray -var token=AIzaSyCI0wS69-6XAxCVDKBozccalLz6fRIaCfc