Погружаемся в мир информационной безопасности уже во второй раз! Юрий Шабалин из Swordfish Security помог нам обширно охватить тему анализа защищенности мобильных приложений: разобрались, что такое пентест и как его проводят; прошлись по всем категориям из OWASP Mobile Top-10; ознакомились с инструментарием пентестера и в догонку поговорили о процессах, объединяющих разработку и информационную безопасность. В этом выпуске мы не обошли вниманием Android (и конечно посравнивали обе платофрмы), а вишенкой на торте стало несколько удивительных историй от гостя о веселых (и не очень) уязвимостях из мира мобилок.

Поддержи лучший подкаст про разработку:

www.patreon.com/podlodka

Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях!

Telegram-чат: t.me/podlodka

Telegram-канал: t.me/podlodkanews

Страница в Facebook: www.facebook.com/podlodkacast/

Twitter-аккаунт: twitter.com/PodlodkaPodcast

Содержание:

00:08:42 - Знакомство с гостем

00:13:42 - Чем отличается пентест от анализа безопасности

00:18:56 - Безопасность в мире мобильной разработки сегодня

00:21:19 - Сравнение iOS/Android в разрезе ИБ

00:40:47 - Разбор OWASP Mobile top10

01:29:00 - Как составить чек-лист для пентеста

01:38:00 - Туллинг пентестера

02:01:10 - Основные этапы пентеса

02:13:40 - Как работать с результатом пентеса

02:18:00 - Интеграция ИБ в процессы разработки

02:30:32 - Как мобильному разработчику стать инженером ИБ?

02:34:40 - Подводим черту

Ссылки гостя:

OWASP Mobile - https://www.owasp.org/index.php/OWASP_Mobile_Security_Testing_Guide

Инструменты для анализа Android - https://github.com/ashishb/android-security-awesome

Инструменты для анализа iOS - https://github.com/ashishb/osx-and-ios-security-awesome

Книги:

“The Mobile Application Hackers Handbook”

“Android Hacker’s Handbook ”

“iOS Hacker’s Handbook”