monobank (2017 - 2021)

+ Додати
    тему
Відповісти
на тему
Народний рейтинг українських банків, страхових компаній і компаній з управління активами і рівень обслуговування в них. Архіви народних рейтингів на Finance.UA.
  #<1 ... 21112112211321142115 ... 2331>
Повідомлення Додано: Нед 08 лис, 2020 23:08

  vitaliian написав:мне поддержка проговорилась что они знают модель, серийник и имей моего смартфона. Вероятно поэтому эмуляторы отсекаются.


да, но это вовсе не секретная информация, точно так же как и user-agent + клиентский ip при посещении любого сайта.
Arien
Аватар користувача
 
Повідомлень: 1227
З нами з: 09.09.14
Подякував: 168 раз.
Подякували: 74 раз.
 
Профіль
 
Повідомлення Додано: Нед 08 лис, 2020 23:26

Re: Monobank

  Arien написав:debugging (отладка)

Debugging это внезапно не только отладка. Значение термина гораздо шире чем просто поиск ошибок при разработке. Иначе зачем тогда достаточно давно придумывают методы защиты ПО от запуска в контролируемой среде? В далеком 2007 году даже индусы (герои наших локальных шуток про недокодров где-то последние 10 лет) задавались этим вопросом
https://answers.sap.com/questions/19969 ... ogram.html
А ты в 2020 рассказываешь что дебаг не может быть использован для того чтобы отследить взаимодействие приложения с сервером(-ами) и найти возможности достать информацию клиента из приложения.

Может ты ещё и про вирусы ничего не слышал, которые крадут данные пользователей, в том числе те что дают доступ к банковскому счёту? :mrgreen: А они (вирусы и их разработчики) знаю где брать данные не потому что им в банке рассказали. Предлагаю не разводить тут айтисрач, для этого есть ДОУ. :wink:

Понятно как желание клиентов запускать приложение на своём рутированном смарте или в эмуляторе потому что просто вот хочется иметь рутированный смарт или вообще нет желания иметь на смарте приложение банка (хз зачем). Точто так же понятно желание банка не давать возможности исследовать работу приложения при запуске его в незащищенной среде. В Monzo к примеру нельзя сделать скриншоты Вообще нигде и никогда. В Transferwise можно, но только на страницах не связанных с платежом. Как всё это сделать при запуске в эмуляторе или на рутированном смарте? 8)
Востаннє редагувалось vitaliy_berdinskikh в Нед 08 лис, 2020 23:43, всього редагувалось 1 раз.
vitaliy_berdinskikh
Аватар користувача
 
Повідомлень: 4862
З нами з: 06.08.19
Подякував: 1099 раз.
Подякували: 642 раз.
 
Профіль
 
Повідомлення Додано: Нед 08 лис, 2020 23:43

  vitaliy_berdinskikh написав:
  Arien написав:debugging (отладка)

Debugging это внезапно не только отладка. Значение термина гораздо шире чем просто поиск ошибок при разработке. Иначе зачем тогда достаточно давно придумывают методы защиты ПО от запуска в контролируемой среде? В далеком 2007 году даже индусы (герои наших локальных шуток про недокодров где-то последние 10 лет) задавались этим вопросом
https://answers.sap.com/questions/19969 ... ogram.html
А ты в 2020 рассказываешь что дебаг не может быть использован для того чтобы отследить взаимодействие приложения с сервером(-ами) и найти возможности достать информацию клиента из приложения.


Вы на серьезе не понимаете, что отладка связана напрямую с разработкой кода? Вы в код смотрели, к-рый процитировали :D ? даже в 2007 году, хотя общие принципы разработки критично не менялись.

И расскажите, пожалуйста, каким образом вытянуть данные при работе из app Моно под эмулем, если Вы так уверены, что это возможно каким-либо иным методом, нежели на мобильном устройстве :).
Arien
Аватар користувача
 
Повідомлень: 1227
З нами з: 09.09.14
Подякував: 168 раз.
Подякували: 74 раз.
 
Профіль
 
Повідомлення Додано: Нед 08 лис, 2020 23:45

Re: Monobank

  Arien написав:Вы на серьезе не понимаете, что отладка связана напрямую с разработкой кода?

Я как программист с большим стажем знаю что отладку можно использовать не только для поиска ошибок, а и для изучения поведения программы. Я так понимаю что ссылку ты не читал. Ну ОК. Обсуждать нечего.
vitaliy_berdinskikh
Аватар користувача
 
Повідомлень: 4862
З нами з: 06.08.19
Подякував: 1099 раз.
Подякували: 642 раз.
 
Профіль
 
Повідомлення Додано: Нед 08 лис, 2020 23:51

  Arien написав:
  vitaliy_berdinskikh написав:
  Arien написав:debugging (отладка)

Debugging это внезапно не только отладка. Значение термина гораздо шире чем просто поиск ошибок при разработке. Иначе зачем тогда достаточно давно придумывают методы защиты ПО от запуска в контролируемой среде? В далеком 2007 году даже индусы (герои наших локальных шуток про недокодров где-то последние 10 лет) задавались этим вопросом
https://answers.sap.com/questions/19969 ... ogram.html
А ты в 2020 рассказываешь что дебаг не может быть использован для того чтобы отследить взаимодействие приложения с сервером(-ами) и найти возможности достать информацию клиента из приложения.


Вы на серьезе не понимаете, что отладка связана напрямую с разработкой кода? Вы в код смотрели, к-рый процитировали :D ? даже в 2007 году, хотя общие принципы разработки критично не менялись.

И расскажите, пожалуйста, каким образом вытянуть данные при работе из app Моно под эмулем, если Вы так уверены, что это возможно каким-либо иным методом, нежели на мобильном устройстве :).

Run the app in an emulator. Emulators have the ro.debuggable property set to 1 (with an exception, see note below). This means they will debug all apps, regardless of the debuggable flag in the Manifest. In some situation, this may not be enough since several components, in the OS or the app itself, may check for the Manifest's debuggable flag before or during the app execution.
unlock
Аватар користувача
 
Повідомлень: 2921
З нами з: 14.06.12
Подякував: 523 раз.
Подякували: 445 раз.
 
Профіль
 
Повідомлення Додано: Нед 08 лис, 2020 23:52

  vitaliy_berdinskikh написав:
  Arien написав:Вы на серьезе не понимаете, что отладка связана напрямую с разработкой кода?

Я как программист с большим стажем знаю что отладку можно использовать не только для поиска ошибок, а и для изучения поведения программы. Я так понимаю что ссылку ты не читал. Ну ОК. Обсуждать нечего.


Поздравляю Вас, но метафоры использовать для девов нетипично.
Программа - не собачка, у нее нет поведения, она или не работает, или работает согласно задуманному алгоритму, или с ошибками, техническими или логическими. Отладка - это и есть процесс, включающий и поиск и устранение ошибок, и пошаговое исследование работы. А в той ссылке как раз советую Вам внимательно рассмотреть приведенный код )

ответ на вопрос по существу все-таки будет (последний абзац моего прошлого сообщения)?
Arien
Аватар користувача
 
Повідомлень: 1227
З нами з: 09.09.14
Подякував: 168 раз.
Подякували: 74 раз.
 
Профіль
 
Повідомлення Додано: Пон 09 лис, 2020 00:10

Вставлю свои 5 копеек.
Дебажить - вполне можно и без наличия исходников. С ними - легче, но можно и без них. Реверс-инжениринг, какбэ. А иногда - и этого не надо, просто анализ протоколов взаимодействия.
Вытянуть данные при работе приложухи - вполне можно и при работе как под эмулятором, так и на честном мобиле. Сильно зависит от параноидальности разработчиков. Иногда - очень сложно, иногда - очень легко. От среды выполнения (эмуль/мобиль) зависит мало. Гораздо больше - от квалификации атакующего.

Наглядный пример:
Те онлайн-курсы валют, которые я веду - далеко не всегда лежат в открытом публичном месте.
Иногда их приходится находить после анализа протоколов взаимодействия приложухи/ИБ с сервером.
Искать апишки, эндпоинты и тд.

Статья про абап - доставила )
Индусы - притча во языцех для всех сапёров в целом, и для абаперов в частности )
mustbe
Аватар користувача
 
Повідомлень: 7782
З нами з: 27.12.17
Подякував: 177 раз.
Подякували: 1567 раз.
 
Профіль
 
2
1
3
Повідомлення Додано: Пон 09 лис, 2020 00:18

  Arien написав:И расскажите, пожалуйста, каким образом вытянуть данные при работе из app Моно под эмулем, если Вы так уверены, что это возможно каким-либо иным методом, нежели на мобильном устройстве :).

Это очень слабо связано со средой выполнения.
Если приложуха "позволяет" - она "читается" одинаково легко как под мобилью, так и под эмулем.
А если нет - то ни там, ни там.

Большого смысла в запрете эмуляторов не вижу. Как по мне - обычная паранойя, это не лечится
mustbe
Аватар користувача
 
Повідомлень: 7782
З нами з: 27.12.17
Подякував: 177 раз.
Подякували: 1567 раз.
 
Профіль
 
2
1
3
Повідомлення Додано: Пон 09 лис, 2020 00:37

  unlock написав:Run the app in an emulator. Emulators have the ro.debuggable property set to 1 (with an exception, see note below). This means they will debug all apps, regardless of the debuggable flag in the Manifest. In some situation, this may not be enough since several components, in the OS or the app itself, may check for the Manifest's debuggable flag before or during the app execution.


Ну, напишу еще раз: все, вся защита и безопасность, все, что можно вытянуть при работе, закладываются при разработке app, в коде, эту опцию можно обрабатывать. То есть, сфера квалификации команды разработчиков. Аналогично, на сегодня достаточно коммерческих надстроек, к-рые позволяют защитить готовое app от декомпиляции, точнее, сделать ее неудачной с очень высокой вероятностью.

Чтобы полноценно что-либо вытягивать - нужна и отладка полноценная, а для нее исходники, или заведомо реализованные дыры в безопасности в проекте (тоже не обсуждаем). И вирусы мы не обсуждаем, т.к. это отдельная тема, пожалуй, вероятнее на физически моб устройствах.
Arien
Аватар користувача
 
Повідомлень: 1227
З нами з: 09.09.14
Подякував: 168 раз.
Подякували: 74 раз.
 
Профіль
 
Повідомлення Додано: Пон 09 лис, 2020 00:49

  Arien написав:Чтобы полноценно что-либо вытягивать - нужна и отладка полноценная, а для нее исходники

Простой пример: допустим у нас есть exe-файл. Обычная экзешка, без всяких исходников.
Её вполне можно изучать, анализировать и дебажить. Инструментов - вагон: Ida, SoftIce, OllyDbg, HexRays итд
Да, это не просто. Но - вполне возможно.

А в нашем случае - всё гораздо проще. Нас не интересует сама программа, интересуют только протоколы взаимодействия.
Куда и что нужно отправить и как именно трактовать ответ. Всё.
Тут даже дебаг не нужен, просто анализ логов
mustbe
Аватар користувача
 
Повідомлень: 7782
З нами з: 27.12.17
Подякував: 177 раз.
Подякували: 1567 раз.
 
Профіль
 
2
1
3
  #<1 ... 21112112211321142115 ... 2331>
Форум:
+ Додати
    тему
Відповісти
на тему
Зараз переглядають цей форум: Немає зареєстрованих користувачів і 0 гостей
Модератори: Ірина_, Модератор

Схожі теми

Теми
Відповіді Перегляди Останнє
ПУМБ (2004 - 2021) 1 ... 3460, 3461, 3462
Anonymous » Чет 18 лис, 2004 12:31
34619 7773256
Переглянути останнє повідомлення
Суб 01 січ, 2022 17:22
Blister
Альфа-Банк (2005 - 2021) Sense Bank 1 ... 10105, 10106, 10107
Anonymous » Чет 21 кві, 2005 18:32
101069 15820363
Переглянути останнє повідомлення
Суб 01 січ, 2022 01:22
Аlександр
ТАСКОМБАНК (2008 - 2021) 1 ... 3814, 3815, 3816
Anonymous » Чет 22 тра, 2008 13:07
38157 5138236
Переглянути останнє повідомлення
Суб 01 січ, 2022 00:49
_PORT_UA
Топ
відповідей
Топ
користувачів
реклама
Реклама