с первым апреля

🎉Канал занял третье место в номинации Микроблоги!

Очень приятно, что авторитетные издания заметили мой небольшой канал. Огромное спасибо сачку и пакету безопасности за проделанную работу, места в топе распределены крайне продуманно.

Дальше-больше!

Изучая документацию jadx наткнулся на упоминание, что его можно подключить как библиотеку в свое Java приложение. И эта идея настолько понравилась, что в итоге вылилась в небольшой комбайн, который удобно использовать для первоначальной обработки JAR/WAR/APK приложений при анализе защищенности.

https://github.com/BlackFan/BFScan

BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.
А также формирует сырые HTTP запросы и OpenAPI спецификацию на основе конфигов, аннотаций методов и классов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Что значительно облегчает тестирование API, когда тело HTTP запроса необходимо сформировать из десятка вложенных классов.

Рассмотрим пример работы утилиты с классом, использующим Spring-аннотации.

@RestController
@RequestMapping("/api")
public class UserController {

@PostMapping("createUser")
public String create(@RequestParam Optional someParamName, @RequestBody User user) {
return "response";
}

В случае, если обрабатываемое приложение использует поддерживаемую библиотеку, утилита сгенерирует файл, содержащий все HTTP запросы, поддерживаемые приложением.
POST /api/createUser?someParamName=value HTTP/1.1
Host: localhost
Connection: close
Content-Type: application/json

{
"name": "name",
"age": 1
}

Приложение удобно использовать как для клиентских приложений, когда вы анализируете API мобильного приложения. Так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нем захардкоженных секретов или дальнейшего анализа API эндпоинтов, которое оно обрабатывает.

Если приложение обфусцировано, что часто бывает с APK, утилита проанализирует все аннотации и, если они похожи на типичное объявление API эндпоинтов, построит HTTP запросы на основе них. В случае, если данная функциональность сработала неправильно, используя jadx вы можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.

Deepseek раздаёт стиля😎
#meme

By @sudora1n

Всех подписчиц поздравляю с профессиональным праздником)

Тут кстати один канал устраивает раздачу напитков, рекомендую чекнуть)

https://t.me/exploitex/23323

Еду на митап VK, буду рад всех видеть)

В последнее время очень часто приходят в голову идеи для новых интересных CTF тасок, которые хотелось бы реализовать. Но гойда CTF уже прошёл, а нового ждать долго, поэтому...

Если вдруг кто-то планирует организовать что-то хоть чуть-чуть масштабное, то я всегда готов помочь с тасками) Пишите в ЛС, обо всём договоримся🥰

Как подсказали ребята в чатике, в гугле есть такая же фишка.

Алгоритм всё тот же:
1. Вводим номер телефона
2. Начинаем восстанавливать пароль
3. Запрашиваем подтверждение по телефону

Политика компаний подразумевает, что данные о модели телефона не являются конфиденциальными, хотя по идее так можно спокойно собирать статистику, ну и банально это даёт поле для Osint расследований.

Ну и есть прикол, что у пользователей яблочной продукции зачастую в названии устройства стоит реальное имя.

Как по мне, немного странное решение, но не админу осуждать гугл ¯\_(ツ)_/¯