Как стать автором
Обновить
113.58
Swordfish Security
Информационная безопасность, DevSecOps, SSDL

Подборка материалов по мобильной безопасности «Awesome Mobile Security»

Время на прочтение18 мин
Количество просмотров8.6K

Привет, Хабр!

Меня зовут Юрий Шабалин, я один из основателей компании "Стингрей Технолоджиз" (входит в группу компаний Swordfish Security), мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android.

По долгу службы мы подписаны на большое количество ресурсов и прорабатываем все статьи и материалы, которые относятся к теме мобильной безопасности. Самым главным и интересным мы хотим поделиться с вами. Материал будет полезен всем, кто следит за появлением новой информации о способах поиска уязвимостей, о разработке новых инструментов, и в целом интересуется безопасностью мобильных приложений.

Оглавление

Вступление

Здесь собраны материалы, которые могут быть полезны с практической точки зрения. Из них можно узнать о новых способах атак на приложения, прочитать о новых уязвимостях, изучить, как работают механизмы операционной системы и т.д. Для удобства все материалы, которые есть на русском языке, выделены в подпункты. Для простоты навигации есть оглавление, все ссылки спрятаны под раскрывающиеся элементы.

iOS Security Awesome

В этой подборке - материалы по безопасности iOS-приложений, различные статьи, исследования, инструменты анализа и полезные библиотеки для обеспечения безопасности.

Инструменты анализа

Все, что может пригодиться при анализе приложений: различные библиотеки, модули для поиска уязвимостей, целые фреймворки и системы.

Ссылки

Инструменты защиты

Библиотеки, которые могут помочь при разработке приложения.

Ссылки

Уязвимые приложения

Здесь - о различных CTF и о том, как их проходить. Все это поможет попрактиковаться и понять, какие уязвимости могут быть в iOS-приложениях и как их искать. Пока что и сами задания, и прохождения объединил в один пункт. Когда их станет больше, можно будет разделить (как это сделано для Android).

Ссылки

Видео

Здесь собраны все видео, имеющие отношение к безопасности iOS. Пока что я нашел только англоязычные материалы, но надеюсь, что в дальнейшем добавятся и на русском языке.

En

Ссылки

Статьи

В этом блоке - разнообразные статьи и материалы по iOS. Русскоязычные и англоязычные - отдельно. Блок со статьями, относящимися к Frida, - в отдельном разделе, поскольку сегодня это, наверное, самый распространенный фреймворк для тестирования. Наверняка полезно посмотреть, как он применяется на реальных приложениях.

Ru

Ссылки

En

Ссылки

Frida

Прочее

Android Security Awesome

В данном разделе собраны материалы по безопасности Android-приложений, включая различные статьи, исследования, инструменты анализа и полезные библиотеки для обеспечения безопасности приложений.

Инструменты анализа

Этот блок разбит на несколько частей. Сначала можно увидеть общие решения для анализа и поиска уязвимостей. Некоторые из них пересекаются с инструментами для iOS, потому что среди них встречаются универсальные фреймворки (но таких немного).

После идут инструменты, применяемые для динамического анализа (необходимо запускать приложение на реальном устройстве или эмуляторе).

Ну и последним пунктом - инструменты, доступные online, используя которые, можно загрузить файл приложения и получить через некоторое время результат.

Общие

Ссылки

Динамический анализ

Ссылки

Онлайн-анализаторы

Ссылки

Инструменты защиты

Библиотеки, которые могут помочь при разработке приложения.

Ссылки

Уязвимые приложения

Различные уязвимые приложения, на которых можно потренироваться в анализе и посмотреть, какие проблемы безопасности вообще бывают.

Ссылки

CTF

Здесь - большая подборка всевозможных CTF-приложений. Как правило, они намного сложнее, чем уязвимые приложения из предыдущего раздела, и используются на различных соревнованиях на конференциях по безопасности.

Очень полезно бывает самому проходить такие CTF или повторять действия, описанные в прохождении, чтобы набить руку и подсмотреть несколько новых приемов анализа.

Ссылки

Прохождение CTF

Описания прохождения различных CTF очень полезны с точки зрения механики анализа. В некоторых статьях присутствуют и сами приложения, на которых можно потренироваться.

Ru

Ссылки

En

Ссылки

Видео

Большая подборка различных видео, начиная от обучающих, заканчивая докладами с различных конференций. Там, где это актуально, сразу приложены ссылки на материалы (слайды, репозитории и т.д.).

Ru

Ссылки

En

Ссылки

Подкасты

В отдельную категорию выделил подкасты. В некоторых по Android мне даже удалось принять участие.

Ru

Ссылки

En

Ссылки

Статьи

Это самый большой раздел из всех. Здесь представлены статьи по различным темам, касающимся безопасности Android. Отдельно собраны все русскоязычные материалы, а также статьи с использованием Frida.

Ru

Ссылки

En

Ссылки

Frida

Другие

Заключение

Наиболее интересные материалы я публикую в своем Telegram-канале Mobile AppSec World. Но нередко приходится искать в истории канала, чтобы повторно прочитать или ответить на чей-то вопрос. Это не очень удобно и бывает непросто найти нужный пост. В связи с этим, я решил оформить все материалы в несколько репозиториев Awesome Android Security и Awesome iOS Security. К сожалению, нельзя уследить за всем, что происходит в мире. Поэтому, если я что-то пропустил и у вас есть, что добавить, смело отправляйте Pull Request!

Основная проблема таких подборок - в том, что они не обновляются. Мне хотелось бы избежать подобной участи, поэтому все материалы, что я прорабатываю, будут появляться в репозиториях в конце недели.

Также, я планирую делать подборку материалов в режиме новостей, что было интересного за неделю в мире мобильной безопасности. Посмотрим, насколько такой формат покажется интересным и полезным.

Всем хорошей недели и полезного чтения!

Теги:
Хабы:
Всего голосов 5: ↑5 и ↓0+5
Комментарии4

Публикации

Информация

Сайт
swordfish-security.ru
Дата регистрации
Дата основания
Численность
101–200 человек
Местоположение
Россия
Представитель
SwordfishTeam