Testy penetracyjne aplikacji mobilnej obejmują symulację ataku hakerskiego na aplikację oraz jej infrastrukturę. Testujemy aplikację mobilne na systemy takie jak Android, iOS czy Smart TV. Testy najczęściej wykonywane są w jednym z trzech wariantów:
Trzecim wariantem jest White Box. Przy tym podejściu tester przeprowadza konsultacje z developerem, poznaje architekturę, posiada pełny dostęp do kodu źródłowego i dokumentacji. Ten wariant testu jest najbardziej szczegołówy i dodatkowo jest uzupełniony o analizę statyczną kodu. Prace zabiorą niewątpliwie najwięcej czasu jednakże wartością dodaną jest fakt, że pomoże to wdrożyć metodykę Secure Software Development Lifecycle w procesie tworzenie aplikacji. Pełne wprowadzenie testera w proces staję się inwestycją, ponieważ naprawa błędów w trakcie wytwarzania kodu jest znacznie tańsza niż w sytuacji gdy aplikacja znajduję się na systemach produkcyjnych.
Testy aplikacji mobilnej pozwalają na zbadanie, jaki jest aktualny stan bezpieczeństwa aplikacji oraz jej infrastruktury. Przebieg wykonanej pracy jest zgodny z metodyką OWASP Mobile Application Security Verification Standard. Wykorzystujemy szereg narzędzi automatycznych ale największą uwagę skupiamy na manualnej eksploitacji wykrytych podatnościach.
Zakres prac uwzględnia analizę bezpieczeństwa mechanizmów dedykowanych aplikacji mobilnych:
Wynikiem testu jest raport wraz z rekomendacjami dotyczącymi poprawnego wyprowadzenia luk bezpieczeństwa. Raport podzielony jest na trzy sekcje. Pierwsza sekcja jest podusmowaniem wykonanych prac dla zarządu lub kadry kierownicznej. Kolejna sekcja dokładnie opisuje zakres i przebieg prac wraz z lisą wykorzystanych narzędzi. Ostatnia sekcja to lista wykrytych podatności zawięracaja dokładny opis, zebrane w trakcie testu dowody oraz rekomendacje od testera. Podatności w raporcie są posortowane wedle ryzyka która stwarzają dla aplikacji i przechowywanej w niej danych. Przy określenie ryzyka posługujemy się motodyką Common Vulnerability Scoring System (CVSS). Wnioski zawarte w raporcie wskazują bazę do dalszych usprawnień aplikacji.
Chcesz dowiedzieć się wiecej lub zapytać o bezpłatną wycenę? Zapraszamy do kontaktu!