API стремительно завоевывает популярность из-за удобства взаимодействия между приложениями. Но такой прямой внешний доступ к транзакциям и данным ставит их под серьезную угрозу безопасности. Поэтому важно выстраивать надежную защиту API с помощью лучших ИБ-практик.

10 июля в 11:00 (MCK) приглашаем вас на вебинар «API Fuzzing: как автоматизировать тестирование и закрыть риски безопасности API»‎.

Привет, Хабр!

Снова с вами команда «Стингрей Технолоджиз», разработчик платформы анализа защищенности мобильных приложений. Мы хотим поделиться результатами нашего нового исследования по безопасности мобильных приложений российских разработчиков. Полный текст можно найти по ссылке, а здесь мы расскажем о самом главном. Поехали!

Привет, Хабр!

На связи команда «Стингрей Технолоджиз», разработчик платформы анализа защищенности мобильных приложений. У нас есть классная новость: мы начали сотрудничество с российским магазином приложений RuMarket! 

Что будем делать: анализировать все приложения стора и предоставлять разработчикам рекомендации по устранению проблем безопасности. Проверенные и надежные приложения будут получать специальную отметку и попадать на витрину – теперь клиенты RuMarket могут быть уверены в их качестве и безопасности.

Мы стремимся к тому, чтобы процесс оценки рисков безопасности был доступным для всех разработчиков RuMarket. Именно поэтому не просто находим проблемы безопасности в процессе анализа защищенности, а предоставляем детальный отчет и даем подробные рекомендации устранению уязвимостей. 

Сегодня мобильные продукты используются во всех сферах жизни и хранят в себе море персональных данных, поэтому хакеры постоянно тянут к ним руки. Серьезные уязвимости могут привести к утечкам и захвату аккаунтов пользователей, поэтому уделять внимание безопасности приложений очень важно. 

«Стингрей Технолоджиз» совмещает ключевые практики анализа защищенности и позволяет полностью автоматизировать процесс сканирования приложений. Уникальная технология позволяет находить даже самые сложные в эксплуатации проблемы безопасности. Наши клиенты – крупнейшие холдинги государственного, финансового, IT-сектора и других отраслей. Мы рады, что российские сторы, в отличие от западных аналогов, стремятся защитить своих пользователей и помочь разработчикам с проверкой продуктов. Вместе с RuMarket мы сможем вывести безопасность отечественных мобильных приложений на новый и более качественный уровень.

Если вы используете сканер уязвимостей OWASP Dependency Track, у нас для вас важная новость: через пару дней вы перестанете получать обновления из базы уязвимостей NVD, если не перейдете на новую версию продукта.

Дело в том, что NVD (National Vulnerability Database – национальная база уязвимостей), которую использует OWASP Dependency Track, с 15 декабря 2023 отключает механизм доступа через data feeds и оставляет доступ только через API.

Привет, Хабр!

На связи команда Swordfish Security. Мы регулярно делимся своей экспертизой на отраслевых мероприятиях. Одна из таких тусовок уже завтра — и это OFFZONE 2023. Конфа пройдет 24 и 25 августа в Москве, в лофте GOELRO. По традиции мы выступаем ее партнером и соорганизатором секции AppSec.Zone. Наша команда креативила дни напролет, а спикеры усердно писали доклады — всё это ради того, чтобы удивить вас и оставить очередной (супер-полезный) след в истории OFFZONE. А теперь обо всём по порядку...

Привет, Хабр!

Это снова я, Юрий Шабалин — генеральный директор и один из основателей Стингрей Технолоджиз. Наша команда занимается анализом защищенности мобильных приложений: ищет уязвимости и помогает их устранять. 

Надеюсь, вы уже соскучились по хорошим новостям. Так вот, у нас тут новый движ: 30 августа в 14:00 проведем вебинар, где я расскажу про безопасность мобильных приложений в текущих условиях. Приглашаю всех вас, подключайтесь! Обещаю дать как можно больше полезной информации и даже попробую добиться оваций (почему бы и нет).

Привет, Хабр! 

Это снова мы, команда Swordfish Security. Уже почти 10 лет внедряем процессы безопасной разработки и практики DevSecOps, заботимся о безопасности приложений. 

А еще Swordfish Security - давний и любимый (ну так нам хотелось бы думать) партнер конференции OFFZONE, которая проводится с 2018 года. Совсем скоро ивент состоится вновь — 25 и 26 августа 2022 года. Мы приготовили для гостей мероприятия много зажигательного и интересного. Наши спикеры тоже постарались — написали крутые и полезные доклады. А теперь переходим непосредственно к спойлерам! 

Привет, Хабр! 

Не устаю напоминать, что меня зовут Юрий Шабалин. Вместе с командой Стингрей Технолоджиз мы занимаемся анализом защищенности мобильных приложений: находим различные типы уязвимостей и помогаем их устранять. Сегодня я хочу поделиться с вами отличной новостью: в этот четверг, 11 августа, расскажу в прямом эфире в Telegram о том, как покрывать код проверками безопасности. Приглашаю всех вас послушать - уверен, вам будет жарко, вернее, интересно. 

Привет, Хабр!

Вновь продолжаем серию дайджестов по мобильной безопасности. Вот и прошел очередной. месяц этого жаркого лета. Посмотрим, что интересного появилось в июле, поделимся полезными ссылками на статьи и материалы.

Привет, Хабр!

По традиции, все билеты на конференции, которые мне попадаются или достаются за участие в различных мероприятиях и их освещение в телеграмм-канале Mobile AppSec World, я разыгрываю среди подписчиков. За прошедшие несколько недель я уже выдал ивайты на OFFZONE 2022, которая пройдет 25-26 августа в Москве, и на Mobius, которая была в Питере.

И здесь я как раз и собрал самые крутые истории, которые мне прислали, чтобы вы также могли их прочитать и улыбнуться вместе со мной (орфография и стиль полностью перенесены из сообщения авторов без изменений).

Итак, поехали!

И снова, после небольшого перерыва представляю вам главные новости из мира безопасности мобильных приложений за июнь. Было много интересных материалов - давайте посмотрим на самые-самые.

Друзья, всех, кто интересуется практическими аспектами обеспечения информационной безопасности, приглашаем принять участие в конференции Offzone 2022! Мероприятие в этом году пройдет в Москве 25-26 августа и соберет разработчиков, безопасников, исследователей, инженеров, тестировщиков, преподавателей и студентов из нескольких стран мира!

Важно, что на этот раз особое внимание будет уделено теме безопасности мобильных приложений, которая вызывает все больше вопросов и привлекает все больше энтузиастов. Рады сообщить, что Tg-канал Mobile Appsec World компании Стингрей Технолоджис был приглашен стать одним из коммьюнити партнеров конференции Offzone 2022. И у нас не только будет отдельный тематический стенд, но и специальные активности и конкурсы с крутыми призами. Обещаем много насыщенного и полезного контента по теме мобильной безопасности!

Следите за нашими анонсами в июне, июле и августе и примите участие в розыгрышах. Так у вас появится шанс получить инвайт на Offzone 2022. А что там будет? Как всегда, организаторы обещают немало качественного технического контента по ИБ, мастер-классы, конкурсы, розыгрыши и неформальные тусовки. Подключайтесь

И снова представляю вам главные новости из мира безопасности мобильных приложений (с 21 по 27 мая). Было много интересных материалов - давайте посмотрим на самые топовые события.

Привет, Хабр!

И снова представляю вам самые главные новости из мира безопасности мобильных приложений (с 14 по 20 мая). Несмотря на прошедшую вторую волну праздников, новостей и материалов хватает, - давайте посмотрим, что интересного произошло.

Привет, Хабр!

И снова представляю вам, как и обещал в статье про подборку материалов по мобильной безопасности, самые главные новости из мира безопасности мобильных приложений (с 30 апреля по 6 мая). Несмотря на праздники, новостей и материалов было достаточно много, - давайте посмотрим, что интересного произошло.

Опасную уязвимость обнаружили в магазине приложений компании Samsung - Galaxy App Store.

Суть ее заключается в возможности установить абсолютно любое приложение из магазина без участия пользователя.

Привет, Хабр!

Продолжая серию мини-дайджестов по мобильной безопасности, посмотрим, что интересного появилось с 23 по 29 апреля.

Привет, Хабр!

Так как прошлый мини-дайджест показался вам интересным, буду продолжать радовать вас новостями мобильной безопасности за прошедшую неделю. Итак, что нового произошло за прошлую неделю с 16 по 22 апреля.

Привет, Хабр!

Меня зовут Юрий Шабалин, как вы помните из предыдущих статей, я один из основателей компании Стингрей Технолоджиз, разработчика платформы анализа защищенности мобильных приложений iOS и Android.

А здесь вы найдете мини-дайджест новостей из мира мобильной безопасности, как я и обещал в статье “Подборка материалов по мобильной безопасности «Awesome Mobile Security»”. Рассказываю о том, что нового произошло, какие уязвимости были обнаружены, что нового почитать и какие новые инструменты появились (или нашлись) за прошлую неделю.

Привет, Хабр!

Несколько недель назад во всех источниках нашумела новость про новую (ну или немного забытую) атаку через цепочку поставок, названную Dependency Hijacking или Dependency Confusion. В качестве быстрого решения многие воспользовались скриптами по проверки имен компонентов в репозиториях, кто-то написал роуты для загрузки, а команды разработки начали переходить на неймспейсы в именах своих библиотек. Тем временем Sonatype подготовили свежие релизы Nexus Repo и Nexus IQ, позволяющие автоматизировать защиту от данной атаки.