Народний рейтинг українських банків, страхових компаній і компаній з управління активами і рівень обслуговування в них. Архіви народних рейтингів на Finance.UA.
Debugging это внезапно не только отладка. Значение термина гораздо шире чем просто поиск ошибок при разработке. Иначе зачем тогда достаточно давно придумывают методы защиты ПО от запуска в контролируемой среде? В далеком 2007 году даже индусы (герои наших локальных шуток про недокодров где-то последние 10 лет) задавались этим вопросом https://answers.sap.com/questions/19969 ... ogram.html А ты в 2020 рассказываешь что дебаг не может быть использован для того чтобы отследить взаимодействие приложения с сервером(-ами) и найти возможности достать информацию клиента из приложения.
Может ты ещё и про вирусы ничего не слышал, которые крадут данные пользователей, в том числе те что дают доступ к банковскому счёту? А они (вирусы и их разработчики) знаю где брать данные не потому что им в банке рассказали. Предлагаю не разводить тут айтисрач, для этого есть ДОУ.
Понятно как желание клиентов запускать приложение на своём рутированном смарте или в эмуляторе потому что просто вот хочется иметь рутированный смарт или вообще нет желания иметь на смарте приложение банка (хз зачем). Точто так же понятно желание банка не давать возможности исследовать работу приложения при запуске его в незащищенной среде. В Monzo к примеру нельзя сделать скриншоты Вообще нигде и никогда. В Transferwise можно, но только на страницах не связанных с платежом. Как всё это сделать при запуске в эмуляторе или на рутированном смарте?
Востаннє редагувалось vitaliy_berdinskikh в Нед 08 лис, 2020 23:43, всього редагувалось 1 раз.
Debugging это внезапно не только отладка. Значение термина гораздо шире чем просто поиск ошибок при разработке. Иначе зачем тогда достаточно давно придумывают методы защиты ПО от запуска в контролируемой среде? В далеком 2007 году даже индусы (герои наших локальных шуток про недокодров где-то последние 10 лет) задавались этим вопросом https://answers.sap.com/questions/19969 ... ogram.html А ты в 2020 рассказываешь что дебаг не может быть использован для того чтобы отследить взаимодействие приложения с сервером(-ами) и найти возможности достать информацию клиента из приложения.
Вы на серьезе не понимаете, что отладка связана напрямую с разработкой кода? Вы в код смотрели, к-рый процитировали ? даже в 2007 году, хотя общие принципы разработки критично не менялись.
И расскажите, пожалуйста, каким образом вытянуть данные при работе из app Моно под эмулем, если Вы так уверены, что это возможно каким-либо иным методом, нежели на мобильном устройстве .
Arien написав:Вы на серьезе не понимаете, что отладка связана напрямую с разработкой кода?
Я как программист с большим стажем знаю что отладку можно использовать не только для поиска ошибок, а и для изучения поведения программы. Я так понимаю что ссылку ты не читал. Ну ОК. Обсуждать нечего.
Debugging это внезапно не только отладка. Значение термина гораздо шире чем просто поиск ошибок при разработке. Иначе зачем тогда достаточно давно придумывают методы защиты ПО от запуска в контролируемой среде? В далеком 2007 году даже индусы (герои наших локальных шуток про недокодров где-то последние 10 лет) задавались этим вопросом https://answers.sap.com/questions/19969 ... ogram.html А ты в 2020 рассказываешь что дебаг не может быть использован для того чтобы отследить взаимодействие приложения с сервером(-ами) и найти возможности достать информацию клиента из приложения.
Вы на серьезе не понимаете, что отладка связана напрямую с разработкой кода? Вы в код смотрели, к-рый процитировали ? даже в 2007 году, хотя общие принципы разработки критично не менялись.
И расскажите, пожалуйста, каким образом вытянуть данные при работе из app Моно под эмулем, если Вы так уверены, что это возможно каким-либо иным методом, нежели на мобильном устройстве .
Run the app in an emulator. Emulators have the ro.debuggable property set to 1 (with an exception, see note below). This means they will debug all apps, regardless of the debuggable flag in the Manifest. In some situation, this may not be enough since several components, in the OS or the app itself, may check for the Manifest's debuggable flag before or during the app execution.
Arien написав:Вы на серьезе не понимаете, что отладка связана напрямую с разработкой кода?
Я как программист с большим стажем знаю что отладку можно использовать не только для поиска ошибок, а и для изучения поведения программы. Я так понимаю что ссылку ты не читал. Ну ОК. Обсуждать нечего.
Поздравляю Вас, но метафоры использовать для девов нетипично. Программа - не собачка, у нее нет поведения, она или не работает, или работает согласно задуманному алгоритму, или с ошибками, техническими или логическими. Отладка - это и есть процесс, включающий и поиск и устранение ошибок, и пошаговое исследование работы. А в той ссылке как раз советую Вам внимательно рассмотреть приведенный код )
ответ на вопрос по существу все-таки будет (последний абзац моего прошлого сообщения)?
Вставлю свои 5 копеек. Дебажить - вполне можно и без наличия исходников. С ними - легче, но можно и без них. Реверс-инжениринг, какбэ. А иногда - и этого не надо, просто анализ протоколов взаимодействия. Вытянуть данные при работе приложухи - вполне можно и при работе как под эмулятором, так и на честном мобиле. Сильно зависит от параноидальности разработчиков. Иногда - очень сложно, иногда - очень легко. От среды выполнения (эмуль/мобиль) зависит мало. Гораздо больше - от квалификации атакующего.
Наглядный пример: Те онлайн-курсы валют, которые я веду - далеко не всегда лежат в открытом публичном месте. Иногда их приходится находить после анализа протоколов взаимодействия приложухи/ИБ с сервером. Искать апишки, эндпоинты и тд.
Статья про абап - доставила ) Индусы - притча во языцех для всех сапёров в целом, и для абаперов в частности )
Arien написав:И расскажите, пожалуйста, каким образом вытянуть данные при работе из app Моно под эмулем, если Вы так уверены, что это возможно каким-либо иным методом, нежели на мобильном устройстве .
Это очень слабо связано со средой выполнения. Если приложуха "позволяет" - она "читается" одинаково легко как под мобилью, так и под эмулем. А если нет - то ни там, ни там.
Большого смысла в запрете эмуляторов не вижу. Как по мне - обычная паранойя, это не лечится
unlock написав:Run the app in an emulator. Emulators have the ro.debuggable property set to 1 (with an exception, see note below). This means they will debug all apps, regardless of the debuggable flag in the Manifest. In some situation, this may not be enough since several components, in the OS or the app itself, may check for the Manifest's debuggable flag before or during the app execution.
Ну, напишу еще раз: все, вся защита и безопасность, все, что можно вытянуть при работе, закладываются при разработке app, в коде, эту опцию можно обрабатывать. То есть, сфера квалификации команды разработчиков. Аналогично, на сегодня достаточно коммерческих надстроек, к-рые позволяют защитить готовое app от декомпиляции, точнее, сделать ее неудачной с очень высокой вероятностью.
Чтобы полноценно что-либо вытягивать - нужна и отладка полноценная, а для нее исходники, или заведомо реализованные дыры в безопасности в проекте (тоже не обсуждаем). И вирусы мы не обсуждаем, т.к. это отдельная тема, пожалуй, вероятнее на физически моб устройствах.
Arien написав:Чтобы полноценно что-либо вытягивать - нужна и отладка полноценная, а для нее исходники
Простой пример: допустим у нас есть exe-файл. Обычная экзешка, без всяких исходников. Её вполне можно изучать, анализировать и дебажить. Инструментов - вагон: Ida, SoftIce, OllyDbg, HexRays итд Да, это не просто. Но - вполне возможно.
А в нашем случае - всё гораздо проще. Нас не интересует сама программа, интересуют только протоколы взаимодействия. Куда и что нужно отправить и как именно трактовать ответ. Всё. Тут даже дебаг не нужен, просто анализ логов