Mobile-Security-Framework (MobSF)

Автор: Ajin Abraham
URL: https://github.com/ajinabraham/Mobile-Security-Framework-MobSF
Система: Linux

Во время пентеста мобильных приложений (особенно в black box сценарии) используется большое количество инструментов, и при этом они свои для каждой из мобильной ОС. В связи с этим сам процесс разворачивания, настройки инфраструктуры тестирования отнимает достаточно много времени и сил.

Mobile Security Framework (MobSF) — это фреймворк «все в одном» для автоматизированного тестирования безопасности мобильных приложений для iOS и Android. Фреймворк имеет открытый исходный код и позволяет производить как статический, так и динамический анализ приложений. Как несложно догадаться, фреймворк поддерживает анализ APK (для Android), IPA (для iOS) и исходного кода.

При статическом анализе можно автоматически просматривать код, искать небезопасные разрешения (permissions) и конфигурации и обнаруживать небезопасный код: переопределение обработчиков SSL-соединений, отключение проверки валидности SSL-соединения, использование методов слабой криптографии, вшитые критичные данные, использование опасных API-вызовов, утечку критичной информации / PII и использование функций, приводящих к небезопасному хранению данных.

При динамическом анализе исследуемое приложение запускается в виртуальной машине или на заранее сконфигурированном устройстве и проблемы детектируются прямо в момент работы приложения. В это время идет захват сетевого трафика, расшифровка HTTP-трафика, сбор дампов, логов приложения.

При желании, конечно, можно добавлять собственные правила и описания уязвимостей.

Разработчик в дальнейшем планирует реализовать поддержку операционных систем Tizen, WindowsPhone.

 

CrackMapExec

Автор: byt3bl33d3r
URL: https://github.com/byt3bl33d3r/CrackMapExec
Система: Linux/Windows

Сегодня пентест практически любой корпоративной сети сводится к работе с Active Directory окружением. И естественно, нужно быть во всеоружии при такой задаче.

CrackMapExec — это швейцарский нож для пентеста Windows / Active Directory окружения.

Инструмент позволяет все, начиная от перечисления авторизованных пользователей, поиска SMB-шар до выполнения атак в стиле PsExec и автоинжекта mimikatz в память с помощью PowerShell.

Из особенностей отдельно хочется выделить:

  • чистый Python;
  • многопоточность;
  • использование только native WinAPI вызовов для обнаружения сессий, пользователей, дампинга SAM-хешей и так далее;
  • Opsec safe (никаких бинарей не грузится на машину, никаких шелл-кодов не инжектится).

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


2 комментария

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

В гостях у чертёнка. FreeBSD глазами линуксоида

Порог вхождения новичка в мир Linux за последние десять-пятнадцать лет ощутимо снизился. О…