R
Доклады на тему того как ходить в зал?)
Size: a a a
2017 September 17
A
Как балансить посиделки до 3х ночи над андроид разработкой и реальную жизнь 😂
A
Ой ладно, оффтоп уже пошёл 🙂
R
Как балансить посиделки до 3х ночи над андроид разработкой и реальную жизнь 😂
Короткий ответ: никак =)
R
Ну либо вещества кушать. Но это такое =)
A
Щас ЦРУ подключится 🙂
R
ГНК скорее )))
A
Ладно, классный был доклад, спасибо) спокойной ночи. Жду продолжения)
R
Благодарю. Пойду спать тоже.
A
Доброй ночи!) Доклад был супер, все хотел пробраться с вопросом, но не удалось, спрошу тут у вас. В приложении есть авторизация пользователей, она реализована через WebView + веб-страница, JS скрипты в WebView разрешены, после удачно авторизации возвращается токен, который хранится на устройстве. Про хранение токенов на устройстве я все усвоил, это не безопасно, буду исправлять. Кроме этого, насколько данный подход к авторизации безопасен и какие могут быть с ним атаки\проблемы и т.п.? Условие от бизнеса, приложение должно работать в офлайне. P.S. Я начинающий разработчик, так что прошу строго не судить за вопрос) Заранее спасибо)
R
Доброй ночи!) Доклад был супер, все хотел пробраться с вопросом, но не удалось, спрошу тут у вас. В приложении есть авторизация пользователей, она реализована через WebView + веб-страница, JS скрипты в WebView разрешены, после удачно авторизации возвращается токен, который хранится на устройстве. Про хранение токенов на устройстве я все усвоил, это не безопасно, буду исправлять. Кроме этого, насколько данный подход к авторизации безопасен и какие могут быть с ним атаки\проблемы и т.п.? Условие от бизнеса, приложение должно работать в офлайне. P.S. Я начинающий разработчик, так что прошу строго не судить за вопрос) Заранее спасибо)
Доброго времени суток :) Благодарю!
Авторизация через WebView плохая идея. На то есть несклько причин:
1. WebView не поддерживает безопасное соединение с пиннигом из коробки. Есть попытки танцевать с приватным апи
2. WebView содержит баги даже несмотря на все попытки гугла что-то с этим сделать (старые девайсы, увы).
https://thehackernews.com/2015/01/hacking-android-mobile-vulnerability.html - затравочка
https://www.rapid7.com/db/modules/exploit/android/browser/webview_addjavascriptinterface - RCE
https://www.rapid7.com/db/modules/auxiliary/gather/android_stock_browser_uxss - XSS
https://www.youtube.com/watch?v=gP8EcMUUymw - видеоуроки овнинга WebView :D
3. Страдает UX. Тут все очевидно
4. Есть риск начала "эпидемии WebView", когда в угоду скорости разработки часть функционала переводится в WebView, типа "ну фронтендеры написали уже, давайте пока так сделаем, а потом переведем в натив".
Добрый совет: поросить ребят из бэк-команды сделать всего 1 метод апи, который лишит вас огромной кучи проблем. Я про метод авторизации конечно же.
Авторизация через WebView плохая идея. На то есть несклько причин:
1. WebView не поддерживает безопасное соединение с пиннигом из коробки. Есть попытки танцевать с приватным апи
ClientCertRequestHandler, но это такое. Если осталось желание побегать по граблям (я предупреждал...), то вот: https://devmaze.wordpress.com/2011/01/18/using-com-android-internal-part-1-introduction/2. WebView содержит баги даже несмотря на все попытки гугла что-то с этим сделать (старые девайсы, увы).
https://thehackernews.com/2015/01/hacking-android-mobile-vulnerability.html - затравочка
https://www.rapid7.com/db/modules/exploit/android/browser/webview_addjavascriptinterface - RCE
https://www.rapid7.com/db/modules/auxiliary/gather/android_stock_browser_uxss - XSS
https://www.youtube.com/watch?v=gP8EcMUUymw - видеоуроки овнинга WebView :D
3. Страдает UX. Тут все очевидно
4. Есть риск начала "эпидемии WebView", когда в угоду скорости разработки часть функционала переводится в WebView, типа "ну фронтендеры написали уже, давайте пока так сделаем, а потом переведем в натив".
Добрый совет: поросить ребят из бэк-команды сделать всего 1 метод апи, который лишит вас огромной кучи проблем. Я про метод авторизации конечно же.
A
Доброго времени суток :) Благодарю!
Авторизация через WebView плохая идея. На то есть несклько причин:
1. WebView не поддерживает безопасное соединение с пиннигом из коробки. Есть попытки танцевать с приватным апи
2. WebView содержит баги даже несмотря на все попытки гугла что-то с этим сделать (старые девайсы, увы).
https://thehackernews.com/2015/01/hacking-android-mobile-vulnerability.html - затравочка
https://www.rapid7.com/db/modules/exploit/android/browser/webview_addjavascriptinterface - RCE
https://www.rapid7.com/db/modules/auxiliary/gather/android_stock_browser_uxss - XSS
https://www.youtube.com/watch?v=gP8EcMUUymw - видеоуроки овнинга WebView :D
3. Страдает UX. Тут все очевидно
4. Есть риск начала "эпидемии WebView", когда в угоду скорости разработки часть функционала переводится в WebView, типа "ну фронтендеры написали уже, давайте пока так сделаем, а потом переведем в натив".
Добрый совет: поросить ребят из бэк-команды сделать всего 1 метод апи, который лишит вас огромной кучи проблем. Я про метод авторизации конечно же.
Авторизация через WebView плохая идея. На то есть несклько причин:
1. WebView не поддерживает безопасное соединение с пиннигом из коробки. Есть попытки танцевать с приватным апи
ClientCertRequestHandler, но это такое. Если осталось желание побегать по граблям (я предупреждал...), то вот: https://devmaze.wordpress.com/2011/01/18/using-com-android-internal-part-1-introduction/2. WebView содержит баги даже несмотря на все попытки гугла что-то с этим сделать (старые девайсы, увы).
https://thehackernews.com/2015/01/hacking-android-mobile-vulnerability.html - затравочка
https://www.rapid7.com/db/modules/exploit/android/browser/webview_addjavascriptinterface - RCE
https://www.rapid7.com/db/modules/auxiliary/gather/android_stock_browser_uxss - XSS
https://www.youtube.com/watch?v=gP8EcMUUymw - видеоуроки овнинга WebView :D
3. Страдает UX. Тут все очевидно
4. Есть риск начала "эпидемии WebView", когда в угоду скорости разработки часть функционала переводится в WebView, типа "ну фронтендеры написали уже, давайте пока так сделаем, а потом переведем в натив".
Добрый совет: поросить ребят из бэк-команды сделать всего 1 метод апи, который лишит вас огромной кучи проблем. Я про метод авторизации конечно же.
Благодарю за ответ. Буду разбираться!)
MT
Напомните пожалуйста как называлась уязвимость в нексусах позволяющая получить рут. HummerRow? или как то так?
Y
Nexus Android Devices Vulnerable to Rooting Application...
threatpost.comthreatpost.com
A rooting application has been found in the wild targeting Nexus mobile devices using a local privilege escalation vulnerability patched two years ago in the Linux kernel that remains unpatched in Android.
threatpost.comthreatpost.com
A rooting application has been found in the wild targeting Nexus mobile devices using a local privilege escalation vulnerability patched two years ago in the Linux kernel that remains unpatched in Android.
R
Напомните пожалуйста как называлась уязвимость в нексусах позволяющая получить рут. HummerRow? или как то так?
RowHummer
R
Она не только в нексусах. Это конкретно проблема оперативной памяти.
A
Напомните пожалуйста как называлась уязвимость в нексусах позволяющая получить рут. HummerRow? или как то так?
RK
А будет тут - как обойти https + ssl pinning ?)
R
Я же выше писал. Попробуйте через sslsplit
RK
Я же выше писал. Попробуйте через sslsplit
не заметил) сорян