mobile application penetration testing tools service providers
Een stapsgewijze handleiding voor het testen van een mobiele applicatie (met tools en serviceproviders):
Een decennium geleden begonnen we, als gevolg van de evolutie van de technologie, allemaal de IT-industrie te begrijpen en dat was de tijd dat we allemaal leerden hoe en wat we konden doen met computersystemen.
Langzaam werd het mogelijk om online geld over te maken via internet in plaats van persoonlijk naar de bank te gaan en in de rij te wachten om een transactie uit te voeren. Door een dergelijke vraag begonnen alle banken online te werken.
Maar voelden we ons allemaal vanaf het begin op ons gemak en zeker bij het gebruik van deze functie, dan is het antwoord dat de meesten van ons zouden zeggen 'NEE'.
Als het om geld gaat, denken we allemaal wel twee keer na.
Wanneer iets nieuw wordt gelanceerd, willen we ervoor zorgen dat het in alle aspecten is beveiligd, alle websites die we tegenwoordig gebruiken doorlopen verschillende lagen van beveiligingscontroles voordat ze aan het publiek worden blootgesteld. Nu is de trend weer aan het veranderen en willen we dat alles gebeurt met een klik op de knop, wat alleen mogelijk is met mobiele apps.
Hoe zorg je ervoor dat alle mobiele apps die je downloadt uit de Play Store of iStore veilig te gebruiken zijn? Bij elke download bestaat het risico van kwaadaardige aanvallen. Om dezelfde reden en om ervoor te zorgen dat hun app de voorkeur krijgt boven andere, moeten de app-ontwikkelaars ervoor zorgen dat hun apps met succes worden getest op beveiliging voordat ze deze daadwerkelijk publiceren om te downloaden.
In dit artikel vindt u informatie over de soorten mobiele apps, wat u kunt verwachten van penetratietests van mobiele apps, hoe de tests kunnen worden uitgevoerd, serviceproviders die diensten aanbieden voor het testen van mobiele apps en een lijst met enkele tools die voor testen.
Wat je leert:
- Mobiele apps en hun typen
- Serviceproviders voor penetratietests voor mobiele apps
- Testtools voor penetratie van mobiele apps
- Weinig populaire dummy kwetsbare mobiele apps
- Wat mag u van uw test verwachten?
- Stappen voor penetratietest mobiele apps
- Gevolgtrekking
- Aanbevolen literatuur
Mobiele apps en hun typen
Voordat we verder gaan hoe pentest een mobiele app , is het erg belangrijk ervoor te zorgen dat u enige achtergrondkennis over mobiele apps heeft.
Laten we eens kijken naar de verschillende soorten mobiele apps.
hoe jnlp-bestanden te openen in Windows 8
# 1) Native mobiele applicatie
Native App betekent de apps die zijn gemaakt voor een bepaald platform zoals iOS of Android, specifiek geschreven in een bepaalde programmeertaal en ze kunnen worden geïnstalleerd vanuit de respectievelijke winkels, zoals de Play Store van Google of de App Store van Apple. Ze bieden de meest gebruiksvriendelijke ervaring en kunnen eenvoudig worden bediend door op het pictogram te klikken.
Enig goed voorbeelden van de native apps zijn Facebook, Instagram, Angry Birds, etc.
Het enige probleem is dat deze apps niet met alle soorten apparaten werken, zoals als een app is gemaakt voor Android, het zal niet werken op iOS en vice versa. Native apps kunnen ook werken zonder internetverbinding.
# 2) Mobiele browsergebaseerde applicatie / mobiele webapps
Mobiele webapps zijn in feite apps die in een browser worden uitgevoerd en die apparaatonafhankelijk zijn.
Dezelfde app kan worden uitgevoerd met een iOS-apparaat of een Android-smartphone. Deze apps zijn meestal geschreven in HTML5. Ze zijn gemakkelijk te publiceren omdat er geen toestemming van Google of Apple voor nodig is om hun winkel toe te staan.
Webapps kunnen direct worden gedownload met de downloadknop op de betreffende websites. Een typisch voorbeeld zijn onze winkelsites zoals Flipkart, Amazon, etc.
# 3) Mobiele hybride applicatie
Dit zijn de applicaties die deels native en deels niet-native zijn. Ze kunnen worden gedownload uit de winkels en ook in de browser worden uitgevoerd.
Het voordeel van het ontwikkelen van dit type apps is dat het platformonafhankelijke ontwikkeling ondersteunt en dus de totale ontwikkelingskosten verlaagt, wat betekent dat het dezelfde codecomponent op een ander apparaat kan hergebruiken. Ook kunnen deze apps snel worden ontwikkeld.
Bovendien kunt u met hybride mobiele apps de functies van zowel native als web-apps krijgen.
Serviceproviders voor penetratietests voor mobiele apps
Onze aanbeveling
# 1) Cijfer
Cijfer is een van de beste serviceproviders voor het testen van mobiele apps. Het staat bekend als een wereldwijd beveiligingsbedrijf dat zeer efficiënte SOC I en SOC II Type 2 Type 2 gecertificeerde beheerde beveiligings- en adviesdiensten aanbiedt.
Hoofdkwartier: Miami, Verenigde Staten
Gesticht: 2000
Werknemers: 300
Omzet: $ 20- $ 50 miljoen
Kerndiensten: Penetratietesten en diensten voor ethisch hacken, beoordeling van kwetsbaarheden, risico en beoordeling, PCI-beoordeling en advies, waarborging van softwarebeveiliging, bewaking van bedreigingen, enz.
Kenmerken:
- Het helpt het systeem om zich te verdedigen tegen geavanceerde bedreigingen en tegelijkertijd risico's te beheersen.
- Cipher biedt efficiënte en innovatieve oplossingen om systeemconformiteit te garanderen.
- Het biedt eigen en gespecialiseerde beveiligingsdiensten aan elke aangesloten organisatie.
Er zijn maar weinig andere serviceproviders:
- Appsec
- Procheckup
- Praetoriaans
- Cigital
- Wesecureapp
- Netspi
- CyberChops
- App-straal
- Jumpsec
- Sciencesoft
Testtools voor penetratie van mobiele apps
- Core Impact Pro (Android, iOS en Windows)
- zANTI (Android)
- Ianalyzer (iOS)
- DVIA (iOS)
Andere tools:
- Poortscanner (Android)
- Fing (Android en iOS)
- DroidSheep (Android)
- Intercepter-NG (Android)
- Nessus (Android)
- Droid SQLi (Android)
- Orweb (Android)
Weinig populaire dummy kwetsbare mobiele apps
Over het algemeen zijn er enkele bekende kwetsbare mobiele applicaties die zijn gemaakt om gebruikers een idee te geven van Mobile Testing. Deze apps hebben kwetsbaarheden die bedoeld zijn om de gebruikers / testers te helpen oefenen en hun pentestkennis te vergroten.
U kunt verwijzen naar iMAS, GoatDroid, DVIA, MobiSec:
Wat mag u van uw test verwachten?
De reden achter het testen is om zoveel mogelijk problemen te achterhalen en ervoor te zorgen dat de problemen worden gevonden voordat ze daadwerkelijk gevolgen hebben voor de eindgebruikers. De belangrijkste reden om een mobiel beveiligingsprobleem te krijgen, is omdat ontwikkelaars nuttiger apps willen maken dan beveiligde apps en er is een kans op een gebrek aan beveiligingsbewustzijn tijdens het ontwikkelen van de apps.
In dit gedeelte zal ik u door een aantal kwetsbaarheden / beveiligingsfouten leiden waar u tijdens het testen op moet letten.
Veelvoorkomende beveiligingsfouten om naar te zoeken:
1) Formaat voor gegevensopslag Het hangt allemaal af van het formaat waarin de gegevens zijn opgeslagen. Of het nu in platte tekst of andere formaten is. Voor Bijv ., Slaat Android de gebruikersnaam en het wachtwoord op in platte tekst, wat het op zijn beurt kwetsbaarder maakt.
2) Opgeslagen gevoelige gegevens Soms coderen ontwikkelaars wachtwoorden of slaan ze gevoelige informatie op die gemakkelijk gecompromitteerd kan worden.
3) Slechte coderingsmethoden: Het gebruik van een Open SSL-bibliotheek die kwetsbaar is voor FREAK-aanvallen, is een van de dingen om op te controleren.
4) Gegevenscodering: Het is belangrijk om ervoor te zorgen dat de gegevensoverdracht op een veilige manier gebeurt en dat de opgeslagen gegevens versleuteld zijn.
5) Zwak wachtwoord aanmaken: Apps moeten een mechanisme hebben om de wachtwoordsterkte te controleren. Zwakke wachtwoorden zijn altijd kwetsbaar voor aanvallen.
6) Gegevenssynchronisatie: Gegevensoverdracht of gegevenssynchronisatie moet via een veilige methode gebeuren. De manier waarop gegevens worden verzonden of gesynchroniseerd met de cloud, kan leiden tot aanvallen en dus tot gegevensverlies.
Het testen van een mobiele app blijft nog steeds een uitdaging in vergelijking met webtesten, aangezien mobiele apps vrij nieuw op de markt zijn en we niet verschillende scanners beschikbaar hebben zoals op internet en we nog steeds spiekbriefjes maken of manieren bedenken om te scannen en hebben veiligere mobiele apps gemaakt voor de eindgebruikers.
Stappen voor penetratietest mobiele apps
Er zijn bepaalde stappen betrokken bij het testen van de mobiele apps.
Zij zijn:
# 1) Testomgeving instellen
Testomgeving instellen is een proces op zich en kan een apart onderwerp zijn om te lezen :)
Ik heb hier niet veel details genoemd over het opzetten van een testomgeving, omdat deze zal verschillen op basis van de tests. Ik heb het hier zojuist opgenomen omdat ik deze stap niet helemaal wilde missen.
Sommige tests kunnen op een echt apparaat worden uitgevoerd, terwijl andere op emulators kunnen worden uitgevoerd. Het verschilt ook op basis van welk platform we willen testen, voor Android-applicaties moeten we mogelijk SDK's installeren en voor iOS is jailbreaking vereist.
# 2) Ontdekken / begrijpen van toepassingen
Elke mobiele applicatie werkt anders, dus de allereerste stap bij het testen zou moeten zijn om meer informatie over de te testen applicatie te ontdekken of er achter te komen. Hierbij moet ook worden vastgesteld hoe de applicatie verbinding maakt met het besturingssysteem en de back-end-server.
Het moet het controleren van gebruikte bibliotheken omvatten, het platform beter begrijpen en nagaan of de applicatie een native / web / hybride type is. Deze stap kan ook worden genoemd als Stap voor het verzamelen van informatie
# 3) Applicatieanalyse / beoordeling
Als onderdeel van deze stap installeert u de applicatie op het mobiele apparaat en maakt u een momentopname van het bestandssysteem en het register voor en na de installatie.
Analyseer de beschikbare informatie om de zwakke punten te identificeren en die kunnen worden misbruikt, zoals begrijpen hoe gevoelige informatie wordt opgeslagen, hoe gegevens worden verzonden, hoe interactie met de derde partij plaatsvindt, enz.
test lead interview vragen en antwoorden pdf
# 4) Reverse engineering
Dit is vereist als de tester de broncode niet heeft. Er worden codebeoordelingen gepland om te begrijpen hoe de applicatie intern functioneert. De bedoeling hiervan is om te zoeken naar kwetsbaarheden.
# 5) Verkeersinterceptie
Configureer in deze stap het apparaat om via een proxy te routeren, die op zijn beurt zou moeten helpen bij het onderscheppen van verkeer en het opsporen van gebreken zoals injectie- of autorisatieproblemen.
# 6) Werking
Nadat de analyse en proxy-instelling is voltooid, kan misbruik worden gemaakt waarbij u zich als een hacker gedraagt, aanvallen simuleert en probeert het systeem in gevaar te brengen.
Maak gebruik van het systeem en voer schadelijke activiteiten uit.
# 7) Rapportage
De bovenstaande stap zou de belangrijkste teststap vormen, dus de laatste stap zou het samenstellen van een rapport moeten zijn waarin alle bevindingen worden vermeld. Een goed rapport moet de details bevatten van alle gevonden kwetsbaarheden, samen met de score voor zakelijke en technische risicobeoordeling.
Een ander belangrijk punt dat kan worden genoemd, is de aanbeveling voor de fix.
Gevolgtrekking
Ik hoop dat jullie allemaal genoten hebben van het lezen van dit artikel over pentesten voor mobiele apps. Naar mijn mening is mobiliteitstesten nog een gebied dat nog niet volledig is verkend.
We kunnen echter beschouwen dat dit een verandering teweeg heeft gebracht en ons de kans geven om onze capaciteiten te heroverwegen en out of the box te gaan denken en anders dan onze traditionele testaanpak. Ontwikkelaars zetten hun creativiteit in en bedenken verschillende varianten van apps, dus zelfs wij als testers hebben nog veel meer te doen!
Ik hoop dat je een goed inzicht zou hebben gehad in tools en serviceproviders voor penetratietests voor mobiele apps !!
Aanbevolen literatuur
- Cloud-prestatietests: cloudgebaseerde serviceproviders voor belastingtests
- TOP 10 Managed Testing Services-bedrijven in 2021
- Beginnershandleiding voor penetratietesten van webapplicaties
- Gids voor het testen van de prestaties van mobiele applicaties
- Testen van mobiele applicaties in de cloud: een compleet overzicht
- Top 10 van mobiele testserviceproviders
- Beste softwaretesttools 2021 [QA Test Automation Tools]
- Verschil tussen Desktop, Client Server Testing en Web Testing