Тестване за проникване на мобилни приложения
Обхват
Проникване в мобилното приложение на дигитална банка, с версии за Android и iOS. Тестът беше извършен по техника Gray Box, като симулира действията на злонамерен потребител с частични познания относно функционалността на системата.
Заключения
Беше забелязано, че липсва валидиране на входа както във версиите за Android, така и за iOS. Атаките, базирани на тази уязвимост, могат да се извършват върху приложението. Независимо от липсата на правилна проверка на входа, няма успешна експлоатация поради MVC рамката. В приложението за iOS беше забелязано, че данните за транзакциите се съхраняват в обикновен текстови формат в локално хранилище. Също така беше открито, че са активирани моментните снимки на приложенията.
Времева рамка
- 13 работни дни
- 5 дни за проникване в Android версията
- 5 дни за проникване в iOS версията
- 3 дни за изготвяне на отчет за откритите уязвимости и отстраняването им
Изпълнени стъпки
- Архитектура, дизайн и моделиране на заплахи
- Съхранение и поверителност на данни
- Проверка на криптографията
- Удостоверяване и управление на сесии
- Мрежова комуникация
- Взаимодействие с околната среда
- Настройки за качество на кода и компилация
- Устойчивост спрямо тревър инженерство