Bezpečnostný audit mobilnej aplikácie - Nethemba

Aplikačná bezpečnosť

Bezpečnostný audit mobilnej aplikácie

01
Vhodné pre:
  • akékoľvek spoločnosti, ktoré vyvíjajú alebo prevádzkujú vlastné mobilné aplikácie
Rozsah testovania:
1-3 týždne (podľa komplexnosti)

Bezpečnostný audit mobilnej aplikácie v sebe zahŕňa ako technický bezpečnostný audit samotnej mobilnej aplikácie, tak bezpečnostný audit serverových webových služieb (REST/SOAP), s ktorými mobilná aplikácia komunikuje.

Pri testovaní využívame nástroje a postupy uvedené v OWASP Mobile Security Project so zameraním na Top Ten Mobile Controls:

1. Identifikácia a zabezpečenie citlivých dát v telefóne.
2. Kontrola kvality a bezpečného úložiska pre heslá, heslové frázy a ďalšie citlivé informácie v telefóne.
3. Sú citlivé dáta chránené pri prenose (šifrovaním)?
4. Je autentifikácia, autorizácia a session-management v danej aplikácii korektne implementovaná?
5. Je koncové “backend” API rozhranie (webové služby) implementované bezpečne?
6. Je integrácia so službami a aplikácia tretích strán bezpečná?
7. Sú o používateľovi mobilnej aplikácie zbierané výhradne len také informácie o ktorých si je vedomý?
8. Overenie možnosti neautorizovaného prístupu k špeciálne citlivým dátam (digitálna peňaženka, SMS, hovory, adresár, apod).
9. Overenie bezpečnej a dôveryhodnej distribúcie mobilnej aplikácie (je bezpečne aktualizovaná, je digitálne podpísaná dôveryhodnou autoritou, ..).
10. Detailná kontrola interpretačných chýb (kontrola všetkých aplikačných vstupov, hĺbkové fuzzy testovanie)

Technický bezpečnostný audit mobilnej aplikácie
Predstavuje praktické overenie reálneho stavu bezpečnosti mobilnej aplikácie v súlade s Top Ten Mobile Controls zahŕňajúce najmä:

  • fuzzy testovanie všetkých používateľských vstupov, overenie kontroly všetkých vstupných parametrov
  • overenie biznis logiky aplikácie
  • overenie šifrovania a digitálneho podpisovania samotných žiadostí
  • overenie bezpečnej autentifikácie medzi mobilnou aplikáciou a danou webovou službou
  • overenie bezpečného úložiska aplikácie
  • ak sa nepoužívajú klientské SSL certifikáty, tak analýza použitej heslovej politiky

Bezpečnostný audit rozhrania webových služieb (REST/SOAP)
Bezpečnostný audit rozhrania webových služieb (REST/SOAP ) je realizovaný ako “blackbox” bezpečnostný audit API rozhrania (bez znalosti XSD/WSDL schém, autentifikačných údajov apod), tak ako „whitebox” bezpečnostný audit API rozhrania (so znalosťou API a prístupových údajov). V oboch prípadoch je uvedené testovanie realizované detailne podľa testovacej príručky OWASP kapitoly „Testing for Web Services“. Audit v sebe zahŕňa otestovanie na nasledujúce útoky.