Anwendungssicherheit

Sicherheitsaudit der mobilen Applikation

01
Geeignet für:
  • Alle Gesellschaften, die eigene mobile Applikationen entwickeln oder betrieben
Testzeit:
1-3 Wochen (abhängig von der Komplexität)

Das Sicherheitsaudit der mobilen Applikation beinhaltet einen technischen Sicherheitsaudit der mobilen Applikation und einen Sicherheitsaudit der Webserverprozesse (REST/SOAP), mit denen die Applikation kommuniziert.

Für die Tests benutzen wir Werkzeuge und Methoden, die durch das an Top Ten Mobile Controls gerichtete  OWASP Mobile Security Project empfohlen wurden:

1. Identifikation und Sicherung der sensitiven Daten im Telefon .
2. Kontrolle der Qualität und Sicherheit des Passwortspeichers .
3. Sind sensitive Daten bei der Übertragung gesichert (verschlüsselt)?
4. Ist in der Applikation der Authentifikations-, Authorisierung- und Session-Management-Prozess richtig implementiert?
5. Ist die API-Backend-Schnittstelle richtig implementiert?
6. Ist die Integration mit Diensten und Applikationen von dritter Seite sicher?
7. Sind die Informationen über den mobilen Applikationsbenutzer nach Sicherheitsanforderungen gesammelt und gespeichert?
8. Überprüfen der Möglichkeit für unauthorisierten Dateizugriff auf spezielle sensitive Daten (elektronische Portemonnaie, SMS, Gespräche, Adressbuch usw. ).
9. Überprüfen der sicheren und vertrauenswürdigen Distribution einer mobilen Applikation (sie ist durch vertrauenswürdige Autoritätsicher sicher aktualisiert und digital unterschrieben) .
10. Ausführliche Kontrolle der Interpretationsfehler (Kontrolle der Applikationseingänge, tiefes Fuzzytesten)

Technisches Sicherheitsaudit mobiler Applikationen
Dieser Test ist ein praktisches Überprüfen des realen Zustandes der mobilen Applikation nach Top Ten Mobile Controls

, welcher folgendes beinhaltet:

  • Fuzzytesten aller Benutzereingaben, Überprüfen des Kontrollprozesses aller Eingabeparameter
  • Überprüfen der Businesslogik der Applikation
  • Überprüfen der Verschlüsselungs- und Digitalunterschriftprozesse
  • Überprüfen der sicheren Authentifikation zwischen mobiler Applikation und entsprechendem Webdienst
  • Überprüfen des sicheren Speichers für Applikation
  • Fals keine SSL-Zertifikate benutzt werden, findet eine Analyse der implementierten Passwortpolitik statt

Sicherheitsaudit der Schnittstelle für Webdienste (REST/SOAP)
Das Sicherheitsaudit der Schnittstelle für Webdienste (REST/SOAP) wird als Blackbox-Test für die API-Schnittstelle (ohne Kenntnisse XSD/WSDL-Schema, Authentifikationsdaten usw) und als Whitebox-Test für API-Schittstelle (mit Kenntnissen der API-Schnittstelle und Zugriffangaben) durchgeführt. In beiden Fällen ist das Testen nach OWASP-Handbuch und dessen Kapitel „Testing for Web Services“ realisiert.