自上週與apk dynamic analyze的奮戰後,這週便硬嗑ipa,無奈iphone的安全上做得挺安全,基本上只能做靜態的分析,但後來稍微查了下,某大公司有在做動態檢測的服務,看來技術真的兇猛!不過價格是貴貴der 3500$ per app....
本週也錄了某廠商android、ios app的封包給主管大大分析,ios的app雖然裝起來了,但新增智慧設備的部分一直抓不到;android則是測了三隻實體手機,沒半隻和server的溝通是正常的,檢查過dns也有設好了但還是無解,後來主管大大模擬器直接adb shell進去setprop dns就搞定了...目前還沒找到為什麼我直接在wifi連接介面改dns卻連不上server的原因,推估是大大的黑黑立場比較兇殘。
另外這次產報告時遇到蠻大的問題,後來大概抓出有三個方面的原因:一是當初模板的設定上有誤,二是xlsx檔在365、2013上格式其實還是有些微的不同,三是Dradis pro上有太多資料,導致連線逾時無法上傳檔案。光找出是這三問題就弄了好一陣子,尤其是第二點,幸好還有同事幫我一起做交叉測試debug。
禮拜五、六時雙手合十、滿懷感恩的拿著同事大大轉讓的HITCON門票,又重返這個黑黑的研討會,記得上次是大三時和同學一起來的,當時還沒有社群場,因此聽得很吃力;經過兩年後的精神時光屋(其實嚴格來說是一個月...),這次R0~3場次至少還有一場可以略懂略懂,覺得已痛哭流涕。
除了演講內容外,收穫最大的是有同事大大幫我介紹給兩位黑黑認識,他們也都很樂於分享,未來可以少了很多的學習探索成本,也希望我自己之後也有能力為資安圈貢獻一點心力,現在只能利用空餘時間寫點每日晨摘、學習筆記回饋而已。
繼續衝刺拉!
本週工作心得:
1.聽到重要的話先記起來,避免重複的詢問
2.若當時間規畫妥善也無法完成任務時,也許該向外求援或提早告知延長期限
3.保有不斷問「why」的好奇心
4.K=(p+i)×s
- knowledge
- people
- information
- share
本週工作筆記:
1.iPhone上使用Burp Suite捕捉HTTPS通信包方法
2.adb命令基本操作
3.smali語法
4.dex檔案結構
如欲閱讀更多工作心得,請見 工作週記
沒有留言:
張貼留言