ну вот так что бы почитать нет( просто мне так везло))) отправляешь пэйлоад, потом идешь в админку где видно кто откуда зашел а там хсс летит)

ну это не проблема именно мобильного приложения ведь, я не совсем понимаю как оно там чекает юзер агент, я в бурпе в http запросе подменяю юзер агент которой летит на сервер отприложения

При чем тут мобилка?

ну вот да, я сейчас это понял)

сори, затупил)

Здраствуйте. Скажите пожалуйста, если какой-то чек-лист по проверке безопасности приложения во время разработки?

GitHub - b-mueller/android_app_security_checklist: Android App Security Checklist
https://github.com/b-mueller/android_app_security_checklist

Или можно руководствоваться бест практикамиь ведра:
https://developer.android.com/topic/security/best-practices

у owasp mobile есть описание SDLC

Спасибо)

@OxFi5t тут спам

Пасаны случайно

Не баньте

Промазал чатиком

Ай ай ай

Прошу помиловать

Что не так?

Распаковываю с++ библиотеки из игры и подгружаю их. А также переопределяю путь к ассетам

Всем привет! Возможно, вопрос покажется глупым, но.
В приложении используется шифрование с алгоритмом AES/GCM/NoPadding через AndroidKeyStore, как выяснилось, между бэкапами приложения/на разных девайсах KeyGenerator генерит абсолютно разные ключи для одних и тех же эллиасов (даже с одним и тем же SecureRandom), что делает невозможным дешифровку данных.
Вопрос: какие есть альтернативы AndroidKeyStore или как из него достать и корректно сохранить SecretKey (чтобы через бек передавать на нужные девайсы пользователя и использовать в дешифровании данных на клиенте)?