Aplikační bezpečnost

Bezpečnostní audit mobilní aplikace

01
Vhodné pro:
  • jakékoliv společnosti, které vyvíjejí nebo provozují vlastní mobilní aplikace
Čas testování:
1-3 týdny (dle komplexnosti)

Bezpečnostní audit mobilní aplikace zahrnuje v sobě, jak technický bezpečnostní audit samotné mobilní aplikace, tak bezpečnostní audit serverových webových služeb (REST / SOAP), se kterými mobilní aplikace komunikuje.

Při testování využíváme nástroje a postupy uvedené v OWASP Mobile Security Project se zaměřením na Top Ten Mobile Controls:

1. Identifikace a zabezpečení citlivých dat v telefonu.
2. Kontrola kvality a bezpečného úložiště pro hesla, heslové fráze a další citlivé informace v telefonu.
3. Jsou citlivé data chráněna při přenosu (šifrováním)?
4. Jsou autentizace, autorizace a session-management v dané aplikaci korektně implementovány?
5. Je koncové „backend“ API rozhraní (webové služby) implementováno bezpečně?
6. Je integrace se službami a aplikacemi třetích stran bezpečná?
7. Jsou o uživateli mobilní aplikace sbírány pouze takové informace o kterých si je vědom?
8. Ověření možnosti neautorizovaného přístupu k speciálním citlivým datům (digitální peněženka, SMS, hovory, adresář, apod.).
9. Ověření bezpečné a důvěryhodné distribuce mobilní aplikace (je bezpečně aktualizována, je digitálně podepsána důvěryhodnou autoritou, ..).
10. Detailní kontrola interpretačních chyb (kontrola všech aplikačních vstupů, hloubkové fuzzy testování)

Technický bezpečnostní audit mobilní aplikace
Představuje praktické ověření reálného stavu bezpečnosti mobilní aplikace v souladu s Top Ten Mobile Controls zahrnující především:

  • fuzzy testování všech uživatelských vstupů, ověření kontroly všech vstupních parametrů
  • ověření byznys logiky aplikace
  • ověření šifrování a digitálního podepisování samotných žádostí
  • ověření bezpečné autentizace mobilní aplikace s danou webovou službou
  • ověření bezpečného úložiště aplikace
  • pokud se nepoužívají klientské SSL certifikáty, následuje nebo je k dispozici analýza použité heslové politiky

Bezpečnostní audit rozhraní webových služeb (REST / SOAP)
Bezpečnostní audit rozhraní webových služeb (REST / SOAP) je realizován jako „blackbox“ bezpečnostní audit API rozhraní (bez znalosti XSD / WSDL schémat, autentifikačních údajů apod.), tak jako „whitebox“ bezpečnostní audit API rozhraní (se znalostí API a přístupových údajů). V obou případech je uvedené testování realizováno detailně dle testovací příručky OWASP kapitoly „Testing for Web Services„. Audit v sobě zahrnuje testování na následující útoky.