пентест ios приложений

  1. Сергей Попов

    Статья Реверс-инжиниринг iOS приложений: IPA-анализ, class-dump и Frida глазами защитника

    На аудите финтех-приложения за 40 минут статического анализа IPA-файла мы вытащили три захардкоженных API-ключа, endpoint внутреннего микросервиса и HMAC-секрет для подписи запросов. Ключи работали в продакшене больше восьми месяцев - компания узнала об этом только потому, что заказала пентест...
    • Сергей Попов
    • Тема
    • class-dump ios frida ios hooking hopper дизассемблер ios owasp masvs анализ ipa файлов ios мобильная безопасность ios пентест ios приложений реверс-инжиниринг ios приложений
    • Ответы: 0
    • Раздел: Мобильная безопасность
  2. Сергей Попов

    Статья Пентест iOS приложений: от установки Frida до обхода jailbreak detection

    На аудите финтех-приложения под iOS мы упёрлись в трёхслойную jailbreak detection - файловые проверки, sandbox-запись в /private и анализ загруженных dylib на предмет FridaGadget. Стандартная команда objection explore приводила к крашу за 200 миллисекунд: приложение завершалось до того, как...
    • Сергей Попов
    • Тема
    • frida ios ios security suite jailbreak detection bypass objection ios динамический анализ ios мобильный пентест обход jailbreak detection пентест ios приложений
    • Ответы: 0
    • Раздел: Мобильная безопасность
  3. Сергей Попов

    Статья Пентест iOS приложений: от jailbreak до анализа бинарников и обхода биометрии

    На пентесте iOS-приложения финтех-сервиса в прошлом квартале мы вытащили auth-токены из Keychain одной командой через objection - разработчики выставили kSecAttrAccessibleAlways, и токены читались на заблокированном устройстве. Обход Face ID занял один Frida-скрипт на шесть строк - Шесть! Строк...
    • Сергей Попов
    • Тема
    • frida ios ios pentest jailbreak пентест objection ios динамический анализ ios приложений обход биометрии ios пентест ios приложений статический анализ ipa
    • Ответы: 0
    • Раздел: Мобильная безопасность
  4. Сергей Попов

    Статья Пентест iOS приложений: от jailbreak до обхода SSL Pinning

    На аудите мобильного банковского приложения стандартная команда ios sslpinning disable через Objection вернула хуки на семь методов - а трафик в Burp Suite так и не появился. Разработчики зашили проверку сертификатов через нативную обёртку над BoringSSL, которую Objection не покрывает. Пришлось...
    • Сергей Попов
    • Тема
    • frida ios jailbreak 2025 ssl pinning bypass анализ трафика ios приложений динамический анализ ios мобильный пентест обход ssl pinning ios пентест ios приложений
    • Ответы: 0
    • Раздел: Мобильная безопасность
Верх Низ
Назад