A
или NDK)
у фреймворков плюс что либа больше в размере и труднее искать
Size: a a a
2020 November 03
C☭
Так же можно использовать фреймворки для написания части либ. Типа go и flutter. Их использование пока мало изучено реверсами и т.к. большая часть в нативе то многих отталкивает.
а что насчет Kotlin?
A
да та же джава под другим углом. Пока еще многих пугает rxjava с ее подписками и событиями
Я
Так же можно использовать фреймворки для написания части либ. Типа go и flutter. Их использование пока мало изучено реверсами и т.к. большая часть в нативе то многих отталкивает.
недавно флаттер ковырял, идой к сожалению не видно, того что надо. Это ж типо виртуальная машина.
A
Но все что исполняется в jvm это проще понять чем в ndk. Тот же jeb расшифрует почти любую строку в java коде и покажет ее оригинал (если конечно не крипта с ключом и т.п.)
C☭
спасибо за инфу!
Я
недавно флаттер ковырял, идой к сожалению не видно, того что надо. Это ж типо виртуальная машина.
https://github.com/mildsunrise/darter
вот чет таким надо сначало стащить именно код приложения
вот чет таким надо сначало стащить именно код приложения
A
недавно флаттер ковырял, идой к сожалению не видно, того что надо. Это ж типо виртуальная машина.
про суть работы не вникал vm не vm не знаю. Но что на dart можно вынести в либу часть функций это точно. И проблем с реверсом доставит не мало.
A
а на что закрывать глаза? кроме детекта рута?
Все что не касается твоей аппы тебя не должно волновать. Есть lp нет lp... есть xposed нет его. Если его код не трогает твою аппу то пусть стоит. Максиммум если есть биллинг это проверка подписи плей маркета и эмуляции лакки. Если биллинг не юзаешь то хрен с ними пусть стоят.
A
Но это все имхо (мое мнение) и оно может не совпадать с чьим то другим. Но я считаю так правильно и справедливо.
2020 November 04
C☭
ok
A
Кстати часто ли вы в своих запросах к серверам (особенно разработчики околобанковской сферы) используете при запросе и проверяете на сервере хэши запросов? Например запрос можно сделать так: https://bank.su/getAccInfo а можно так: https://bank.su/getAccInfo?sign=3e532d654378eadb Причем Генерацию этого параметра сигн вынести в натив дабы скрыть алгоритм его получения. А на сервере проверять и если оно не верное то слать клиента в опу. По мне так должно защитить как минимум от модификации запросов. даже если трафик пустят и подсмотрят через burp то модифицировать не смогут.
A
А еще не смогут сделать эти запросы без клиентского приложения (типа сделать копию или автоматический скрипт)
RC
Кстати часто ли вы в своих запросах к серверам (особенно разработчики околобанковской сферы) используете при запросе и проверяете на сервере хэши запросов? Например запрос можно сделать так: https://bank.su/getAccInfo а можно так: https://bank.su/getAccInfo?sign=3e532d654378eadb Причем Генерацию этого параметра сигн вынести в натив дабы скрыть алгоритм его получения. А на сервере проверять и если оно не верное то слать клиента в опу. По мне так должно защитить как минимум от модификации запросов. даже если трафик пустят и подсмотрят через burp то модифицировать не смогут.
Одно из правил современной криптографии: секретность алгоритма не гарантирует безопасность данных. Вполне применимо к цифровой подписи - размотают, было бы желание
C☭
Кстати часто ли вы в своих запросах к серверам (особенно разработчики околобанковской сферы) используете при запросе и проверяете на сервере хэши запросов? Например запрос можно сделать так: https://bank.su/getAccInfo а можно так: https://bank.su/getAccInfo?sign=3e532d654378eadb Причем Генерацию этого параметра сигн вынести в натив дабы скрыть алгоритм его получения. А на сервере проверять и если оно не верное то слать клиента в опу. По мне так должно защитить как минимум от модификации запросов. даже если трафик пустят и подсмотрят через burp то модифицировать не смогут.
нет такого....
C☭
Одно из правил современной криптографии: секретность алгоритма не гарантирует безопасность данных. Вполне применимо к цифровой подписи - размотают, было бы желание
вопрос про время поиска алги... как вариант при каждом паблике приложения менять алгоритм...
C☭
Кстати часто ли вы в своих запросах к серверам (особенно разработчики околобанковской сферы) используете при запросе и проверяете на сервере хэши запросов? Например запрос можно сделать так: https://bank.su/getAccInfo а можно так: https://bank.su/getAccInfo?sign=3e532d654378eadb Причем Генерацию этого параметра сигн вынести в натив дабы скрыть алгоритм его получения. А на сервере проверять и если оно не верное то слать клиента в опу. По мне так должно защитить как минимум от модификации запросов. даже если трафик пустят и подсмотрят через burp то модифицировать не смогут.
наш ИБ-спец ака техлид говорит что достаточно TLS'a и все и так шифруется ..
A
Одно из правил современной криптографии: секретность алгоритма не гарантирует безопасность данных. Вполне применимо к цифровой подписи - размотают, было бы желание
Ну да... нах тогда обфусцировать код, все равно же разматают) И всякие r8 и dexguard включать не надо... Итог один, разматают?
C☭
Ну да... нах тогда обфусцировать код, все равно же разматают) И всякие r8 и dexguard включать не надо... Итог один, разматают?
как-то так на выходе получается...
C☭
трудно втолковывать