Погружаемся в мир информационной безопасности уже во второй раз! Юрий Шабалин из Swordfish Security помог нам обширно охватить тему анализа защищенности мобильных приложений: разобрались, что такое пентест и как его проводят; прошлись по всем категориям из OWASP Mobile Top-10; ознакомились с инструментарием пентестера и в догонку поговорили о процессах, объединяющих разработку и информационную безопасность. В этом выпуске мы не обошли вниманием Android (и конечно посравнивали обе платофрмы), а вишенкой на торте стало несколько удивительных историй от гостя о веселых (и не очень) уязвимостях из мира мобилок.

Содержание
00:08:42 - Знакомство с гостем
00:13:42 - Чем отличается пентест от анализа безопасности
00:18:56 - Безопасность в мире мобильной разработки сегодня
00:21:19 - Сравнение iOS/Android в разрезе ИБ
00:40:47 - Разбор OWASP Mobile top10
01:29:00 - Как составить чек-лист для пентеста
01:38:00 - Туллинг пентестера
02:01:10 - Основные этапы пентеса
02:13:40 - Как работать с результатом пентеса
02:18:00 - Интеграция ИБ в процессы разработки
02:30:32 - Как мобильному разработчику стать инженером ИБ?
02:34:40 - Подводим черту

Полезные ссылки
- OWASP Mobile
www.owasp.org/index.php/OWASP_Mo…rity_Testing_Guide
- Инструменты для анализа Android
github.com/ashishb/android-security-awesome
- Инструменты для анализа iOS
github.com/ashishb/osx-and-ios-security-awesome
Книги:
"The Mobile Application Hackers Handbook"
"Android Hacker's Handbook "
"iOS Hacker's Handbook"