mobile application penetration testing tools service providers
Una guia pas a pas sobre la prova de ploma d'una aplicació mòbil (amb eines i proveïdors de serveis):
Fa una dècada, a causa de l'evolució de la tecnologia, tots vam començar a entendre sobre la indústria de les TI i va ser el moment, tots vam conèixer com i què es podia fer mitjançant sistemes informàtics.
Lentament, es va fer possible transferir diners en línia mitjançant Internet en lloc de visitar el banc en persona i esperar a la cua per realitzar una transacció. A causa d’aquesta demanda, tots els bancs van començar a operar en línia.
Però, si ens vam sentir còmodes i segurs utilitzant aquesta funció des del principi, la resposta que diríem la majoria de nosaltres és 'NO'?
Pel que fa als diners, tots ens ho pensem dues vegades.
Quan es llança alguna cosa, volem assegurar-nos que estigui protegit en tots els aspectes, tots els llocs web que fem servir actualment passen per diverses capes de controls de seguretat abans que siguin exposats al públic. Ara la tendència torna a canviar i volem que tot passi amb un clic de botó que només és possible mitjançant les aplicacions mòbils.
Com assegureu-vos que totes les aplicacions per a mòbils que baixeu de Play Store o iStore siguin segures d'utilitzar? Amb qualsevol descàrrega hi ha el risc d’atacs maliciosos. Per la mateixa raó i per garantir que la seva aplicació sigui preferida per sobre d'altres, els desenvolupadors d'aplicacions haurien de garantir que les seves aplicacions es provin correctament de seguretat abans de publicar-les per a la seva descàrrega.
Aquest article us informarà sobre els tipus d’aplicacions mòbils, què s’ha d’esperar de les proves de penetració d’aplicacions mòbils, com es poden dur a terme les proves, els proveïdors de serveis que ofereixen serveis per provar aplicacions mòbils i una llista d’algunes eines per proves.
Què aprendreu:
- Aplicacions mòbils i els seus tipus
- Proveïdors de serveis de proves de penetració d'aplicacions mòbils
- Eines de prova de penetració d'aplicacions mòbils
- Poques aplicacions per a mòbils vulnerables fictícies populars
- Què heu d’esperar de la prova?
- Passos per provar les aplicacions mòbils de prova de penetració
- Conclusió
- Lectura recomanada
Aplicacions mòbils i els seus tipus
Abans de seguir endavant com prova de ploma una aplicació mòbil , és molt important assegurar-vos que tingueu coneixements bàsics sobre les aplicacions per a mòbils.
Comprenem els diferents tipus d’aplicacions per a mòbils.
preguntes d’entrevistes de treball d’analistes de garantia de qualitat
# 1) Aplicació mòbil nativa
Aplicació nativa: les aplicacions creades per a una plataforma concreta com iOS o Android, específicament escrites en un llenguatge de programació concret i que es poden instal·lar des de les botigues respectives, com ara la botiga de jocs de Google o la botiga d'aplicacions d'Apple. Ofereixen l’experiència més fàcil d’utilitzar i es poden operar simplement fent clic a la icona.
Alguns bons exemples de les aplicacions natives són Facebook, Instagram, Angry Birds, etc.
L'únic problema és que aquestes aplicacions no funcionen amb tot tipus de dispositius, com ara si es crea una aplicació per a Android, no funcionarà a iOS i viceversa. Les aplicacions natives també poden funcionar sense connectivitat a Internet.
# 2) Aplicació mòbil basada en navegador / aplicacions web per a mòbils
Les aplicacions web per a mòbils són bàsicament aplicacions que s’executen en un navegador i són independents del dispositiu.
La mateixa aplicació es pot executar mitjançant un dispositiu iOS o un telèfon intel·ligent Android. Aquestes aplicacions s’escriuen principalment en HTML5. Es poden publicar fàcilment perquè no necessita cap permís de Google o Apple per permetre-ho a la seva botiga.
Les aplicacions web es poden descarregar directament mitjançant el botó de baixada disponible als seus llocs web interessats. Un exemple típic serien els nostres llocs de compres com Flipkart, Amazon, etc.
# 3) Aplicació híbrida mòbil
Aquestes són les aplicacions que són en part natives i en part no natives. Es poden descarregar de les botigues i executar-les al navegador.
L’avantatge de desenvolupar aquest tipus d’aplicacions és que admet el desenvolupament multiplataforma i, per tant, redueix el cost global de desenvolupament, cosa que significa que permet reutilitzar el mateix component de codi en un dispositiu diferent. A més, aquestes aplicacions es poden desenvolupar ràpidament.
A més, les aplicacions mòbils híbrides us permeten obtenir les funcions d’aplicacions natives i web.
Proveïdors de serveis de proves de penetració d'aplicacions mòbils
La nostra recomanació
# 1) Xifratge
Xifrat és un dels millors proveïdors de serveis de proves d’aplicacions per a mòbils. És coneguda com una empresa de seguretat global que ofereix serveis de consultoria i seguretat gestionats certificats SOC I i SOC II tipus 2 d’alta eficiència.
Seu: Miami, USA
Fundat: 2000
Empleats: 300
Ingressos: De 20 a 50 milions de dòlars
Serveis bàsics: Serveis de proves de penetració i pirateria ètica, avaluació de la vulnerabilitat, riscos i avaluació, assessorament i consultoria PCI, garantia de seguretat de programari, control de les amenaces, etc.
Característiques:
- Ajuda el sistema a defensar-se de les amenaces avançades mentre gestiona els riscos.
- Cipher ofereix solucions eficients i innovadores per garantir el compliment del sistema.
- Proporciona serveis de seguretat propietaris i especialitzats a totes les organitzacions associades.
Pocs altres proveïdors de serveis:
- Appsec
- Pròxim control
- Pretorià
- Cigital
- Wesecureapp
- Netspi
- CyberChops
- Aplicació ray
- Jumpsec
- Sciencesoft
Eines de prova de penetració d'aplicacions mòbils
- Core Impact Pro (Android, iOS i Windows)
- zANTI (Android)
- Analitzador (IOS)
- DVIA (IOS)
Altres eines:
- Port Scanner (Android)
- Fing (Android i iOS)
- DroidSheep (Android)
- Intercepter-NG (Android)
- Nessus (Android)
- Droid SQLi (Android)
- Orweb (Android)
Poques aplicacions per a mòbils vulnerables fictícies populars
En general, hi ha algunes aplicacions mòbils vulnerables conegudes que es creen per donar als usuaris una idea de les proves mòbils. Aquestes aplicacions tenen vulnerabilitats que són intencionades per ajudar els usuaris / verificadors a practicar i millorar els seus coneixements sobre proves de llapis.
Podeu fer referència a iMAS, GoatDroid, DVIA, MobiSec:
Què heu d’esperar de la prova?
El motiu de les proves és esbrinar tants problemes com puguem i assegurar-nos que els problemes es trobin abans que afecti realment els usuaris finals. La raó principal per obtenir un problema de seguretat mòbil és que els desenvolupadors volen crear aplicacions més útils que les aplicacions segures i hi ha possibilitats de manca de consciència de seguretat durant el desenvolupament de les aplicacions.
En aquesta secció, us explicaré algunes vulnerabilitats / defectes de seguretat que hauríeu de tenir en compte com a part de les proves.
Defectes de seguretat comuns a tenir en compte:
1) Format d'emmagatzematge de dades :Tot depèn del format en què s’emmagatzemin les dades. Ja sigui en text pla o en altres formats. Per a Per exemple ., Android emmagatzema el nom d’usuari i la contrasenya en text pla, cosa que al seu torn la fa més vulnerable.
2) Dades sensibles emmagatzemades :De vegades, els desenvolupadors codifiquen contrasenyes o emmagatzemen informació confidencial que es pot comprometre fàcilment.
3) Mètodes de codificació incorrectes: L’ús de la biblioteca Open SSL que és vulnerable a l’atac FREAK és una de les coses que cal comprovar.
4) Xifrat de dades: És important assegurar-se que la transmissió de dades es faci de manera segura i que les dades emmagatzemades es xifren.
5) Creació de contrasenyes febles: Les aplicacions haurien de tenir un mecanisme per comprovar si la contrasenya és forta. Les contrasenyes febles sempre són vulnerables als atacs.
6) Sincronització de dades: La transmissió de dades o la sincronització de dades s’han de fer mitjançant un mètode segur. La forma en què les dades es transmeten o se sincronitzen amb el núvol pot provocar atacs i, per tant, provocar la pèrdua de dades.
Provar una aplicació mòbil continua sent un repte en comparació amb les proves web, ja que les aplicacions mòbils són bastant noves al mercat i no tenim diversos escàners disponibles com a la web i seguim creant fulls de trucs o proposant maneres d’escanejar i tenen aplicacions mòbils més segures creades per als usuaris finals.
Passos per provar les aplicacions mòbils de prova de penetració
Hi ha certs passos relacionats amb la prova de ploma de les aplicacions mòbils.
Ells són:
# 1) Configuració de l'entorn de prova
La configuració de l'entorn de prova és un procés en si mateix i pot ser un tema diferent per llegir :)
No he esmentat molts detalls sobre la configuració d'un entorn de prova aquí, perquè variarà en funció de la prova. L’acabo d’incloure aquí perquè no volia perdre’m completament aquest pas.
Algunes de les proves es poden realitzar en un dispositiu real, mentre que d'altres es poden fer en emuladors. A més, difereix en funció de la plataforma que volem provar, per a les aplicacions d'Android que potser necessitem instal·lar SDK i per a iOS, necessitarem un jailbreak.
# 2) Descobriment / Comprensió de l'aplicació
Cada aplicació mòbil funcionarà de manera diferent, de manera que el primer pas de la prova hauria de ser descobrir o obtenir més informació sobre l’aplicació que es prova. Això també hauria d’incloure la identificació de com l’aplicació es connecta al sistema operatiu i al servidor de fons.
Ha d’incloure comprovar les biblioteques utilitzades, entendre millor la plataforma i esbrinar si l’aplicació és de tipus natiu / web / híbrid. Aquest pas també es pot anomenar com Pas de recollida d'informació .
# 3) Anàlisi / avaluació de l'aplicació
Com a part d’aquest pas, instal·leu l’aplicació al dispositiu mòbil i feu una instantània del sistema de fitxers i del registre abans i després de la instal·lació.
Analitzeu la informació disponible per identificar les zones de debilitat i que es pot aprofitar, com comprendre com s’emmagatzema informació sensible, com es transmeten les dades, com s’està produint la interacció amb el tercer, etc.
# 4) Enginyeria inversa
Això serà necessari si el comprovador no té el codi font. Es planificaran revisions de codi per entendre el funcionament intern de l’aplicació. La intenció de fer-ho és buscar vulnerabilitats.
# 5) Intercepció del trànsit
En aquest pas, configureu el dispositiu per encaminar-se a través d'un servidor intermediari, que al seu torn hauria d'ajudar a interceptar el trànsit i esbrinar els defectes com ara problemes d'injecció o d'autorització.
# 6) Operació
Un cop feta l’anàlisi i la configuració del servidor intermediari, es pot fer explotació allà on us comporteu com un pirata informàtic, simuleu atacs i intenteu comprometre el sistema.
Explotar el sistema i realitzar activitats malicioses.
quins són els meus inicis de sessió i contrasenya del router
# 7) Informes
El pas anterior constituiria el principal pas de prova, de manera que l'últim pas hauria de ser la compilació d'un informe que mencioni totes les troballes. Un bon informe hauria de contenir detalls de totes les vulnerabilitats trobades juntament amb la puntuació d’avaluació de riscos tècnics i empresarials.
Un altre punt important que es pot esmentar és la recomanació per a la solució.
Conclusió
Espero que a tots us hagi agradat llegir aquest article sobre les proves de llapis d'aplicacions mòbils. Al meu entendre, les proves de mobilitat segueixen sent un àmbit que no s’ha explorat completament.
Tot i això, podem considerar que això ha comportat un canvi i que ens dóna l'oportunitat de repensar les nostres capacitats i començar a pensar fora de la caixa i diferent del nostre enfocament de proves tradicionals. Els desenvolupadors ofereixen la seva creativitat i presenten diferents variacions d’aplicacions, de manera que fins i tot nosaltres, com a provadors, tenim molt més a fer.
Espero que tingueu una bona idea de les eines i proveïdors de serveis de proves de penetració d'aplicacions mòbils.
Lectura recomanada
- Proves de rendiment al núvol: proveïdors de serveis de proves de càrrega basades en el núvol
- TOP 10 empreses de serveis de proves gestionades el 2021
- Guia per a principiants sobre proves de penetració d'aplicacions web
- Guia de proves de rendiment de l'aplicació mòbil
- Proves d'aplicacions mòbils basades en el núvol: una visió general completa
- Top 10 de companyies proveïdores de serveis de proves mòbils
- Les millors eines de prova de programari 2021 (Eines d'automatització de proves de control de qualitat)
- Diferència entre la prova d'escriptori, el servidor de clients i la prova web