Auditoría de seguridad de aplicaciones de teléfonos inteligentes - Nethemba

SEGURIDAD DE LA APLICACIÓN

Auditoría de seguridad de aplicaciones de teléfonos inteligentes

01
Adecuado para:
  • Cualquier empresa que desarrolle o gestione sus propias aplicaciones móviles
Tiempo de prueba:
1-3 semanas (depende de la complejidad)

La auditoría de seguridad de teléfonos inteligentes implica una auditoría de seguridad técnica de la aplicación móvil y los servicios web de servidor apropiados (REST / SOAP).
Durante las pruebas, seguimos el Proyecto de seguridad móvil OWASP que se centra principalmente en los Top Diez Controles Móviles:

La auditoría de seguridad de teléfonos inteligentes implica una auditoría de seguridad técnica de la aplicación móvil y los servicios web de servidor apropiados (REST / SOAP).

Durante las pruebas, seguimos el Proyecto de seguridad móvil OWASP que se centra principalmente en los Top Diez Controles Móviles:

  1. Identificar y proteger los datos confidenciales en el dispositivo móvil.
  2. Manejar las credenciales de contraseña de forma segura en el dispositivo.
  3. Asegurar de que los datos sensitivos estén protegidos en tránsito.
  4. Implementar correctamente la autenticación de usuarios, la autorización y la gestión de sesiones.
  5. Mantener seguras las API back-end (servicios) y la plataforma (servidor).
  6. Integración segura de datos con servicios y aplicaciones de terceros.
  7. Prestar atención especial a la recopilación y el almacenamiento del consentimiento para la recopilación y el uso de los datos del usuario.
  8. Implementar controles para evitar el acceso no autorizado a los recursos pagados (billetera, SMS, llamadas telefónicas, etc.)
  9. Asegurar la distribución / aprovisionamiento seguro de aplicaciones móviles.
  10. Revisar cuidadosamente cualquier error en el tiempo de ejecución del código.

AUDITORÍA DE SEGURIDAD DE APLICACIONES DE SMARTPHONE

La auditoría de seguridad de la aplicación para teléfonos inteligentes consiste en una verificación práctica de la seguridad de la aplicación móvil de acuerdo con los diez controles móviles principales. Se trata principalmente de:

  • prueba borrosa de todas las entradas del usuario, verifica si todos los parámetros de entrada están validados correctamente
  • pruebas de lógica de negocios
  • Análisis de si la aplicación utiliza cifrado y firma digital.
  • Se utiliza el análisis de autenticación segura entre la aplicación móvil y los servicios web.
  • comprobar si se utiliza un almacenamiento seguro
  • Si no se utilizan los certificados de cliente SSL, análisis de la política de contraseña utilizada

AUDITORÍA DE SEGURIDAD DE SERVICIOS WEB (REST / SOAP)

La auditoría de seguridad de servicios web (REST / SOAP) se realiza como una auditoría de seguridad de “caja negra” (sin conocimiento de los esquemas, credenciales, etc. de XSD / WSDL) y como una auditoría de seguridad de “caja blanca” (con conocimiento de API y credenciales proporcionadas). En ambos casos, las pruebas se realizan de acuerdo con La Guía de pruebas de OWASP, sección “Pruebas para servicios web“. La auditoría incluye una ejecución de los siguientes ataques.