Practical IoT Hacking – Early access

Practical IoT Hacking with NoStarch Press

After many months of hard work, Practical IoT Hacking is available now through NoStarch’s Early Access program and print copies are scheduled to be released at the beginning of 2021!

I must say that this was a very interesting project with an awesome multidisciplinary team that contributed to make this book a very solid read for anyone wanting to understand concepts and techniques for IoT security.

Finally, I just want to thank everyone. I really hope you all like what we decided to put on this book and please do spread the word among your friends. It really helps 🙂

Official website: https://nostarch.com/practical-iot-hacking

Tips for testing OWASP MSTG-STORAGE-5

MSTG-STORAGE-5 states right now:

Overview

When users type in input fields, the software automatically suggests data. This feature can be very useful for messaging apps. However, the keyboard cache may disclose sensitive information when the user selects an input field that takes this type of information.

Static Analysis

In the layout definition of an activity, you can define TextViews that have XML attributes. If the XML attribute android:inputType is given the value textNoSuggestions, the keyboard cache will not be shown when the input field is selected. The user will have to type everything manually.

<code><code><code><EditText
        android:id="@+id/KeyBoardCache"
        android:inputType="textNoSuggestions"/>
</code></code></code>

Source Code Auditing Tip

But… wait. Are you just looking for the string ‘textNoSuggestions’ when doing static analysis? Don’t forget to also look for ‘InputType.TYPE_TEXT_FLAG_NO_SUGGESTIONS‘ as the input type can be changed dynamically from an Activity. If you are only looking at the XML attributes of Layouts, you are missing out apps that dynamically change it..

Patch coming

By the time you read this my patch to the official OWASP MSTG repository clarifying how to detect it with static analysis better is probably merged. However, you could have read it here first.

Quick notes about Azure Table Storage Injection in Windows Azure Mobile Services

One beautiful afternoon you come across the popular Azure Table Storage service during an assessment. Shit, a NoSQL service hosted on Azure. It must be secure right?Well, again it is up to the developer’s implementation and unsurprisingly, it is possible to use SQL injection (NoSQL injection?) to extract more data than intended if the developers failed at sanitizing parameters. 

How do you identify this service?

  • Look for apps sending requests to *.azure-mobile.net
  • Requests sent to /tables/
  • Requests containing the operators shown next included in the request variable ‘filter’

What operators can you use to extract information?

Extract information from other tables using the following supported comparison operators:

  • eq (Equal) 
  • gt (GreaterThan)
  • ge (GreaterThanOrEqual)
  • lt (LessThan)
  • le (LessThanOrEqual) 
  • ne (NotEqual)

 I hope you find the operators reference useful and remember to stay on the hunt ;).
Reference:

Querying tables and entities: https://docs.microsoft.com/en-us/rest/api/storageservices/querying-tables-and-entities#supported-comparison-operators

OWASP LATAM Tour México

¿Ya están listos para la próxima edición de OWASP LATAM Tour México? Estoy viendo que no publiqué la reseña del 2018 como tal, pero como siempre digo, todo para los que se lanzan a vivir las cosas. Para los que por diferentes motivos no pudieron acompañarnos, no se pierdan el video resumen que nos prepararon que deje al inicio de este post.

OWASP LATAM Tour 2018 México

Es un poco tarde ahora para compartir las buenas experiencias que tuvimos y solo queda agradecer una vez más al apoyo de todos. Desde nuestros amados patrocinadores que confían en nosotros cada año, lideres de capítulos que unieron fuerzas como OWASP CDMX (Carlos) y Guadalajara (Hector), amigos que apoyaron de muchas maneras diferentes, por supuesto la gente de OWASP Riviera Maya como Ismael, Martha y staff, hasta grandes personas como Pedro Gonzalez y Sara Guerrero que nos dieron casa en el Tech Garage por 2 años y apoyaron en todo momento.

Ya dos ediciones en Cancun y creo que hemos empezado a evolucionar. El motivo por el que registré el capítulo de OWASP local como OWASP Riviera Maya y no OWASP Cancun o OWASP Cozumel, fue justamente tener la flexibilidad de hacer reuniones en cualquier parte de esta bella región. Tulum, Playa del Carmen, Akumal, ¡es hermosa esta area! Cancun es fantástico y reuniones locales se siguen llevando a cabo ahí regularmente, pero este año les tenemos una sorpresa. La próxima edición de OWASP LATAM Tour México 2019 se llevará a cabo en Cozumel, Quintana Roo. Una bella isla de la cual soy afortunado de llamar casa y estoy seguro todos quedaran tan enamorados de ella como yo.

Estas próximas semanas estarán llenas de anuncios así que estén pendientes porque publicaremos fechas, opciones de vuelos y hospedaje, sorpresas y por supuesto el Call For Papers y Call For Trainers que todos esperan. Este año tenemos el objetivo de tener un gran número de charlas y talleres de alto nivel técnico.

¡Espero verlos a todos por aquí!

Cozumiel

Ligas relacionadas

OWASP LATAM en Youtube

OWASP Riviera Maya

OWASP Riviera Maya en Twitter

OWASP Riviera Maya en Facebook