Тестване за проникване на мобилни приложения

Тестът за проникване на мобилни приложения, подобно на теста за проникване на уеб приложения, симулира действията на злонамерен хакер, опитващ се да причини щети на организацията. С други думи, целта на теста за сигурност е да идентифицира и потвърди наличието на проблеми. Тестът за проникване на мобилни приложения използва малко по-различен подход, в сравнение с традиционния тест за приложение, който разглежда основната заплаха като идваща от Интернет. Тук тестът за проникване на мобилни приложения се фокусира повече върху тестването от страна на клиента, хардуера, файловата система и мрежата. В сравнение със стандартно уеб приложения, мобилното приложение позволява на крайния потребител да го контролира. В тестването се включва:

Методология

    • Архитектура, дизайн и моделиране на заплахи
    • Съхранение на данни и поверителност
    • Проверка на криптографията
    • Управление на удостоверяването и на сесиите
    • Мрежова комуникация
    • Взаимодействие с околната среда
    • Настройки за качество на кода и компилирането
    • Устойчивост на обратно инженерство

Сравнение на White Box и Black Box тестване

Black Box тестване

Не се изискват познания за местоположението, структурата или приложението на тествания софтуер.

Gray Box тестване

При Gray Box тестващия се опитва да открие дефекти в защитата с непълна информация за вътрешната структура на кода на софтуерния продукт.

White Box тестване

При тестването White Box се предоставя на тестера информация за структурата и функционалността на приложение, за да се провери то от гледна точка на разработчика.

Доклади

Протоколът за тестване на проникване описва всички дейности, извършени по време на проверката. Затова докладът представя откритите уязвимости в два аспекта:

От гледна точка на управлението

 
  • Общо описание на сигурността на системите.
  • Въздействието, което откритите уязвимости могат да имат върху информационната сигурност.
  • Необходими мерки за сигурност за справяне с проблемите.

От техническа гледна точка

 
  • Дефиниране и класифициране на нивата на риск на откритите уязвимости.
  • Описание на фазата на събиране на информация за запознаване с информационната система.
  • Резултати от сканиране и използване на откритите уязвимости, описание, въздействие, ниво на критичност, засегнат компонент, жива демонстрация, метод за намаляване на риска от уязвимостта и стъпки за отстраняване.

Подробности

  • Вашите разработчици може да са добри в разработването на функционални, бързи и лесно разширяеми приложения, но сигурността е нещо съвсем различно. Тестът за проникване се препоръчва за организация без вътрешен екип за тестване.
  • Тестовете за проникване често се изискват от регулации като PCIDSS, HIPAA / HITECH и FINRA.
  • Тестването за проникване на уеб приложения е особено полезно, ако бизнесът ви зависи от вашето приложение, съхранява лични данни на вашите клиенти или предоставя опция за плащания и поръчки.
  • Тестовете за проникване могат да ви помогнат да изпълните техническите изисквания на GDPR.

5 до 30 дни за едно уеб приложение, в зависимост от сложността.

Нашите експерти притежават множество сертификати в сферата, като CEH, OSCP, CCSA и др.

Ако нямате опит, заедно с нашите партньори можем да отстраним вашите уязвимости. Ние не извършваме тази услуга самостоятелно поради конфликт на интереси.

Нашият процес

Обхват

  • Задаване на времева рамка
  • Определяне на обхват

Проучване

  • Пасивно събиране на данни
  • Активно събиране на данни

Сканиране

  • Автоматизирано сканиране
  • Преглед на резултатите
  • Проверка за фалшиви положителни резултати
  • Ръчна проверка на резултатите

Използване

  • Ръчно тестване
  • Използване на уязвимостите

Отчитане

  • Обобщение на информацията
  • Управленски доклад
  • Технически доклад
РАЗГЛЕДАЙТЕ ВСИЧКИ НАШИ УСЛУГИ