<div dir="ltr">Hi Nikola,<div><br></div><div>Thanks for the feedback. Indeed, the testing will involved a lot more than just using ZAP for insecure communications and some of the Top ten mobile risks. </div><div><br></div><div>Tools such as Cydia Substrate, Xposed and Apktool among others will be used during the research/testing.</div><div><br></div><div>I definitely will be testing SeraphimDroid and submit the found issues.</div><div><br></div><div>Cheers</div><div><br></div><div>Johanna</div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 19, 2016 at 7:57 AM, Nikola Milosevic <span dir="ltr"><<a href="mailto:nikola.milosevic86@gmail.com" target="_blank">nikola.milosevic86@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello Johanna,<div><br></div><div><br></div><div>Sorry for the quite late reply. The things you stated and the research you mentioned pointed out is quite interesting and quite a good field to promote ourselves probably. However, ZAP is definitely better suited for testing apps. We can do some heuristics and scans, but on the app side we are unable to scan code and find most of the issues from OWASP Mobile Top 10. What we most definitely should do is make app secure. If we can do also some basic scans for insecure apps, that is also quite a good idea for some future development. Thank you for sharing the article, also if you have further ideas for the Seraphimdroid side, I am happy to listen. </div><div><br></div><div><br><br><br></div></div><div class="gmail_extra"><br clear="all"><div><div data-smartmail="gmail_signature"><div dir="ltr"><div>Best regards,<br></div><div><br>Nikola Milošević</div></div></div></div>
<br><div class="gmail_quote"><div><div class="h5">On 15 September 2016 at 20:44, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr">Hi Zap and Seraphimdroid team<div><br></div><div>Recently I wrote an article regarding the security of mobile antivirus:</div><div><a href="http://techbeacon.com/mobile-antivirus-introduces-vulnerability-how-devops-could-have-stopped-mess" target="_blank">http://techbeacon.com/mobile-a<wbr>ntivirus-introduces-vulnerabil<wbr>ity-how-devops-could-have-<wbr>stopped-mess</a></div><div><br></div><div>Many OWASP resources and projects are actually mentioned as resources for proper development lifecycle. Zap among others</div><div><br></div><div>I'm conducting a research on automation of apps security testing and one of the apps I will be testing is Seraphimdroid.</div><div><br></div><div>I'll be using ZAP for the testing certain areas of the application and ZEST scripts.</div><div><br></div><div>@Seraphimdroid team: I think , based on the mobile fiasco, if SeraphimDroid enhances his security testing , patching the issues found, including a Bug Bounty program, we will have a more secure app than any anti-virus and for free ;-P </div><div><br></div><div>Right now I have a draft of the areas ZAP helps testing mobile apps:</div><div><a href="https://docs.google.com/document/d/1PdkvNh0SOy5fSIcmkuDMNCNxvlKRpdFseFX_lnoJUfg/edit?usp=sharing" target="_blank">https://docs.google.com/docume<wbr>nt/d/1PdkvNh0SOy5fSIcmkuDMNCNx<wbr>vlKRpdFseFX_lnoJUfg/edit?usp=s<wbr>haring</a><br></div><div><br></div><div>If you have any ideas, feel free to feedback </div><span><font color="#888888"><div><div><br></div><br><div><div dir="ltr"><div>Johanna Curiel </div></div></div>
</div></font></span></div>
<br></div></div>______________________________<wbr>_________________<br>
Owasp_seraphimdroid_project mailing list<br>
<a href="mailto:Owasp_seraphimdroid_project@lists.owasp.org" target="_blank">Owasp_seraphimdroid_project@li<wbr>sts.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp_seraphimdroid_project" rel="noreferrer" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp_seraphimdroid<wbr>_project</a><br>
<br></blockquote></div><br></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>