Μενού

Εργαλεία δοκιμής διείσδυσης εφαρμογών για κινητές συσκευές και πάροχοι υπηρεσιών

  • Κύριος
  • Αλλα
  • Εργαλεία δοκιμής διείσδυσης εφαρμογών για κινητές συσκευές και πάροχοι υπηρεσιών

mobile application penetration testing tools service providers

Δοκιμάστε Το Όργανο Μας Για Την Εξάλειψη Των Προβλημάτων

Ένας οδηγός βήμα προς βήμα για τη δοκιμή στυλό μιας εφαρμογής για κινητά (με εργαλεία και παρόχους υπηρεσιών):

Πριν από μια δεκαετία, λόγω της εξέλιξης της τεχνολογίας, όλοι αρχίσαμε να καταλαβαίνουμε για τη βιομηχανία πληροφορικής και εκείνη τη στιγμή, όλοι μας γνωρίζαμε πώς και τι θα μπορούσε να γίνει χρησιμοποιώντας συστήματα υπολογιστών.

Αργά, κατέστη δυνατή η μεταφορά χρημάτων μέσω Διαδικτύου αντί να επισκεφθείτε την τράπεζα αυτοπροσώπως και να περιμένετε στην ουρά για να πραγματοποιήσετε μια συναλλαγή. Λόγω αυτής της ζήτησης, όλες οι τράπεζες άρχισαν να λειτουργούν διαδικτυακά.

Όμως, αισθανθήκαμε όλοι άνετα και ασφαλή χρησιμοποιώντας αυτήν τη δυνατότητα από την αρχή, η απάντηση που θα έλεγαν οι περισσότεροι από εμάς είναι 'ΟΧΙ'.

Όσον αφορά τα χρήματα, όλοι σκεφτόμαστε δύο φορές.

Όταν κάτι κυκλοφορεί πρόσφατα, θέλουμε να διασφαλίσουμε ότι είναι ασφαλές σε όλες τις πτυχές, όλοι οι ιστότοποι που χρησιμοποιούμε σήμερα περνούν από διάφορα επίπεδα ελέγχων ασφαλείας προτού εκτεθούν στο κοινό. Τώρα η τάση αλλάζει ξανά και θέλουμε να συμβούν όλα με ένα κλικ ενός κουμπιού που είναι δυνατό μόνο με τη χρήση εφαρμογών για κινητά.

Δοκιμή διείσδυσης εφαρμογών για κινητά

Πώς διασφαλίζετε ότι όλες οι εφαρμογές για κινητά που κατεβάζετε από το play store ή το iStore είναι ασφαλείς στη χρήση; Με οποιαδήποτε λήψη έρχεται ο κίνδυνος κακόβουλων επιθέσεων. Για τον ίδιο λόγο και για να διασφαλιστεί ότι η εφαρμογή τους προτιμάται έναντι άλλων, οι προγραμματιστές εφαρμογών πρέπει να διασφαλίσουν ότι οι εφαρμογές τους δοκιμάζονται με επιτυχία πριν από τη δημοσίευσή τους για λήψη.

Αυτό το άρθρο θα σας ενημερώσει σχετικά με τους τύπους εφαρμογών για κινητά, τι πρέπει να αναμένεται από τον έλεγχο διείσδυσης εφαρμογών για κινητά, πώς μπορεί να διεξαχθεί η δοκιμή, παρόχους υπηρεσιών που προσφέρουν υπηρεσίες για δοκιμές εφαρμογών για κινητά και μια λίστα ορισμένων εργαλείων που μπορούν να χρησιμοποιηθούν για δοκιμές.

Τι θα μάθετε:

Εφαρμογές για κινητά και οι τύποι τους

Πριν προχωρήσουμε βαθιά πως να δοκιμή στυλό μια εφαρμογή για κινητά , είναι πολύ σημαντικό να διασφαλιστεί ότι έχετε γνώσεις σχετικά με τις εφαρμογές για κινητά.

Ας κατανοήσουμε τους διαφορετικούς τύπους εφαρμογών για κινητά.

στάδια στον κύκλο ζωής ανάπτυξης λογισμικού

# 1) Εγγενής εφαρμογή για κινητά

Η εγγενής εφαρμογή σημαίνει τις εφαρμογές που έχουν δημιουργηθεί για μια συγκεκριμένη πλατφόρμα όπως το iOS ή το Android, ειδικά γραμμένες σε μια συγκεκριμένη γλώσσα προγραμματισμού και μπορούν να εγκατασταθούν από τα αντίστοιχα καταστήματα, όπως το Google Play Store ή το App Store της Apple. Προσφέρουν την πιο φιλική προς το χρήστη εμπειρία και μπορούν να χρησιμοποιηθούν απλά κάνοντας κλικ στο εικονίδιο.

Καποια καλα παραδείγματα Εγγενείς εφαρμογές είναι Facebook, Instagram, Angry Birds κ.λπ.

Το μόνο πρόβλημα είναι ότι αυτές οι εφαρμογές δεν λειτουργούν με όλους τους τύπους συσκευών, όπως εάν μια εφαρμογή έχει δημιουργηθεί για Android, δεν θα λειτουργεί σε iOS και αντίστροφα. Οι εγγενείς εφαρμογές μπορούν επίσης να λειτουργήσουν χωρίς σύνδεση στο Διαδίκτυο.

# 2) Εφαρμογή που βασίζεται σε προγράμματα περιήγησης για κινητά / Εφαρμογές ιστού για κινητά

Οι εφαρμογές Ιστού για κινητά είναι βασικά εφαρμογές που εκτελούνται σε πρόγραμμα περιήγησης και είναι ανεξάρτητες από τη συσκευή.

Η ίδια εφαρμογή μπορεί να εκτελεστεί χρησιμοποιώντας μια συσκευή iOS ή ένα smartphone Android. Αυτές οι εφαρμογές είναι συνήθως γραμμένες σε HTML5. Είναι εύκολο να δημοσιευτούν, επειδή δεν χρειάζεται άδεια από την Google ή την Apple για να επιτρέψουν στο κατάστημά τους.

Μπορείτε να πραγματοποιήσετε απευθείας λήψη εφαρμογών ιστού χρησιμοποιώντας το κουμπί λήψης που είναι διαθέσιμο στους σχετικούς ιστότοπους. Ένα τυπικό παράδειγμα θα ήταν οι ιστότοποι αγορών μας όπως το Flipkart, το Amazon κ.λπ.

# 3) Κινητή υβριδική εφαρμογή

Αυτές είναι οι εφαρμογές που είναι εν μέρει εγγενείς και εν μέρει μη εγγενείς. Μπορούν να ληφθούν από τα καταστήματα, καθώς και να εκτελούνται στο πρόγραμμα περιήγησης.

Το όφελος από την ανάπτυξη αυτών των εφαρμογών τύπου είναι, υποστηρίζει την ανάπτυξη πολλαπλών πλατφορμών και συνεπώς μειώνει το συνολικό κόστος ανάπτυξης, πράγμα που σημαίνει ότι επιτρέπει την επαναχρησιμοποίηση του ίδιου στοιχείου κώδικα σε διαφορετική συσκευή. Επίσης, αυτές οι εφαρμογές μπορούν να αναπτυχθούν γρήγορα.

Επιπλέον, οι υβριδικές εφαρμογές για κινητά σάς επιτρέπουν να αποκτήσετε τις δυνατότητες τόσο των εγγενών όσο και των εφαρμογών ιστού.

Πάροχοι υπηρεσιών δοκιμής διείσδυσης εφαρμογών για κινητά

Η Σύστασή μας

# 1) Cipher

Λογότυπο Cipher

Κρυπτογράφημα είναι ένας από τους καλύτερους παρόχους υπηρεσιών δοκιμής στυλό εφαρμογών για κινητά. Είναι γνωστή ως παγκόσμια εταιρεία ασφάλειας που προσφέρει υψηλής απόδοσης πιστοποιημένες υπηρεσίες διαχείρισης και παροχής συμβουλών SOC I και SOC II Type 2.

Αρχηγείο: Μαϊάμι, ΗΠΑ
Ιδρύθηκε το: 2000
Υπαλλήλους: 300
Εσοδα: 20 $ - 50 εκατ. $

Βασικές υπηρεσίες: Υπηρεσίες δοκιμής διείσδυσης & δεοντολογικής εισβολής, Αξιολόγηση ευπάθειας, Αξιολόγηση κινδύνων και αξιολόγησης, Αξιολόγηση και συμβουλευτική PCI, Διασφάλιση ασφάλειας λογισμικού, παρακολούθηση απειλών κ.λπ.

Χαρακτηριστικά:

  • Βοηθά το σύστημα να υπερασπιστεί έναντι προηγμένων απειλών ενώ διαχειρίζεται τους κινδύνους.
  • Η Cipher προσφέρει αποτελεσματικές και καινοτόμες λύσεις για τη διασφάλιση της συμμόρφωσης του συστήματος.
  • Παρέχει ιδιόκτητες και εξειδικευμένες υπηρεσίες ασφαλείας σε κάθε οργανισμό που σχετίζεται.
=> Επισκεφθείτε την ιστοσελίδα Cipher
Λίγοι άλλοι πάροχοι υπηρεσιών:

Εργαλεία δοκιμής διείσδυσης εφαρμογών για κινητά

Άλλα εργαλεία:

  • Port Scanner (Android)
  • Fing (Android & iOS)
  • DroidSheep (Android)
  • Intercepter-NG (Android)
  • Nessus (Android)
  • Droid SQLi (Android)
  • Orweb (Android)

Λίγες δημοφιλείς εικονικές ευπαθείς εφαρμογές για κινητά

Σε γενικές γραμμές, υπάρχουν μερικές γνωστές ευάλωτες εφαρμογές για κινητά που έχουν δημιουργηθεί για να δώσουν στους χρήστες μια ιδέα του Mobile Testing. Αυτές οι εφαρμογές έχουν ευπάθειες που είναι σκόπιμα να βοηθήσουν τους χρήστες / υπεύθυνους δοκιμών να εξασκήσουν και να βελτιώσουν τις γνώσεις τους σχετικά με τη δοκιμή πένας.

Μπορείτε να ανατρέξετε στο iMAS, GoatDroid, DVIA, MobiSec:

Τι πρέπει να περιμένετε από τη δοκιμή σας;

Ο λόγος πίσω από τη δοκιμή είναι να ανακαλύψουμε όσο το δυνατόν περισσότερα ζητήματα και να διασφαλίσουμε ότι τα ζητήματα θα βρεθούν πριν επηρεάσει πραγματικά τους τελικούς χρήστες. Ο κύριος λόγος για να λάβετε ένα ζήτημα ασφάλειας για κινητά είναι επειδή οι προγραμματιστές θέλουν να δημιουργήσουν πιο χρήσιμες εφαρμογές από τις ασφαλείς εφαρμογές και υπάρχουν πιθανότητες έλλειψης συνειδητοποίησης ασφάλειας κατά την ανάπτυξη των εφαρμογών.

Σε αυτήν την ενότητα, θα σας παρουσιάσω ορισμένες ευπάθειες / Ατέλειες ασφαλείας που πρέπει να προσέχετε ως μέρος της δοκιμής.

Κοινά ελαττώματα ασφάλειας για αναζήτηση:

1) Μορφή αποθήκευσης δεδομένων :Όλα εξαρτώνται από τη μορφή με την οποία αποθηκεύονται τα δεδομένα. Είτε σε απλό κείμενο είτε σε άλλες μορφές. Για Π.χ ., Το Android αποθηκεύει το όνομα χρήστη και τον κωδικό πρόσβασης σε απλό κείμενο, το οποίο με τη σειρά του το καθιστά πιο ευάλωτο.

2) Αποθηκευμένα ευαίσθητα δεδομένα :Μερικές φορές οι προγραμματιστές κωδικοί πρόσβασης σκληρού κώδικα ή αποθηκεύουν ευαίσθητες πληροφορίες που μπορούν εύκολα να παραβιαστούν.

3) Κακές μέθοδοι κωδικοποίησης: Η χρήση της βιβλιοθήκης Open SSL που είναι ευάλωτη σε FREAK επίθεση είναι ένα από τα πράγματα που πρέπει να ελέγξετε.

4) Κρυπτογράφηση δεδομένων: Είναι σημαντικό να διασφαλιστεί ότι η μετάδοση δεδομένων γίνεται με ασφαλή τρόπο και τα αποθηκευμένα δεδομένα είναι κρυπτογραφημένα.

5) Αδύναμη δημιουργία κωδικού πρόσβασης: Οι εφαρμογές πρέπει να διαθέτουν έναν μηχανισμό για τον έλεγχο της ισχύος του κωδικού πρόσβασης. Οι αδύναμοι κωδικοί πρόσβασης είναι πάντα ευάλωτοι σε επιθέσεις.

6) Συγχρονισμός δεδομένων: Η μετάδοση δεδομένων ή συγχρονισμού δεδομένων πρέπει να γίνεται μέσω ασφαλούς μεθόδου. Ο τρόπος με τον οποίο τα δεδομένα μεταδίδονται ή συγχρονίζονται με το σύννεφο μπορεί να οδηγήσει σε επιθέσεις και ως εκ τούτου προκαλεί απώλεια δεδομένων.

Η δοκιμή μιας εφαρμογής για κινητά παραμένει μια πρόκληση σε σύγκριση με τις δοκιμές ιστού, καθώς οι εφαρμογές για κινητά είναι αρκετά νέες στην αγορά και δεν διαθέτουμε αρκετούς σαρωτές όπως στον ιστό και εξακολουθούμε να δημιουργούμε cheat sheet ή να βρούμε τρόπους σάρωσης και έχουν δημιουργήσει πιο ασφαλείς εφαρμογές για κινητά για τους τελικούς χρήστες.

Βήματα για τη δοκιμή διείσδυσης εφαρμογών για κινητά

Υπάρχουν ορισμένα βήματα που εμπλέκονται στη δοκιμή στυλό για τις εφαρμογές για κινητά.

Αυτοί είναι:

# 1) Δοκιμή περιβάλλοντος

Η δοκιμαστική ρύθμιση περιβάλλοντος είναι μια διαδικασία από μόνη της και μπορεί να είναι ένα ξεχωριστό θέμα για ανάγνωση :)

Δεν έχω αναφέρει πολλές λεπτομέρειες σχετικά με τη ρύθμιση ενός περιβάλλοντος δοκιμής εδώ, γιατί θα διαφέρει ανάλογα με τη δοκιμή. Μόλις το έχω συμπεριλάβει εδώ επειδή δεν ήθελα να χάσω εντελώς αυτό το βήμα.

Ορισμένες από τις δοκιμές μπορούν να πραγματοποιηθούν σε πραγματική συσκευή, ενώ ορισμένες μπορούν να γίνουν σε εξομοιωτές. Επίσης, διαφέρει ανάλογα με την πλατφόρμα που σκοπεύουμε να δοκιμάσουμε, για εφαρμογές Android που ενδέχεται να χρειαστεί να εγκαταστήσουμε SDK και για iOS, θα χρειαστεί jailbreaking.

# 2) Ανακαλύψτε / Κατανόηση εφαρμογών

Κάθε εφαρμογή για κινητά θα λειτουργεί διαφορετικά, επομένως το πρώτο βήμα στη δοκιμή σας θα πρέπει να είναι να ανακαλύψετε ή να μάθετε περισσότερες πληροφορίες σχετικά με την υπό δοκιμή εφαρμογή. Αυτό πρέπει επίσης να περιλαμβάνει τον προσδιορισμό του τρόπου σύνδεσης της εφαρμογής στο λειτουργικό σύστημα και στον διακομιστή back-end.

Θα πρέπει να περιλαμβάνει τον έλεγχο για τις βιβλιοθήκες που χρησιμοποιούνται, την καλύτερη κατανόηση της πλατφόρμας και τη διαπίστωση εάν η εφαρμογή είναι εγγενής / ιστός / υβριδικός τύπος. Αυτό το βήμα μπορεί επίσης να ονομαστεί ως Βήμα συγκέντρωσης πληροφοριών .

καλύτερη μετατροπή youtube σε εφαρμογή mp3

# 3) Ανάλυση / Αξιολόγηση Εφαρμογών

Ως μέρος αυτού του βήματος, εγκαταστήστε την εφαρμογή στην κινητή συσκευή και τραβήξτε ένα στιγμιότυπο του συστήματος αρχείων και του μητρώου πριν και μετά την εγκατάσταση.

Αναλύστε τις διαθέσιμες πληροφορίες για να προσδιορίσετε τις περιοχές αδυναμίας και τις οποίες μπορούν να αξιοποιηθούν, όπως η κατανόηση του τρόπου αποθήκευσης ευαίσθητων πληροφοριών, του τρόπου μετάδοσης των δεδομένων, του τρόπου με τον οποίο πραγματοποιείται αλληλεπίδραση με τρίτους κ.λπ.

# 4) Αντίστροφη μηχανική

Αυτό θα απαιτείται εάν ο υπεύθυνος δοκιμών δεν διαθέτει τον πηγαίο κώδικα. Οι αναθεωρήσεις κώδικα θα προγραμματιστούν για να κατανοήσουν πώς λειτουργεί η εφαρμογή εσωτερικά. Ο σκοπός είναι να αναζητήσετε ευπάθειες.

# 5) Παρακολούθηση της κυκλοφορίας

Σε αυτό το βήμα, διαμορφώστε τη συσκευή ώστε να δρομολογεί μέσω διακομιστή μεσολάβησης, η οποία με τη σειρά της θα βοηθήσει στην παρεμπόδιση της κυκλοφορίας και στην εύρεση ελαττωμάτων όπως ζητήματα έγχυσης ή εξουσιοδότησης.

# 6) Λειτουργία

Αφού γίνει η ανάλυση και η ρύθμιση διακομιστή μεσολάβησης, η εκμετάλλευση μπορεί να γίνει όπου συμπεριφέρεστε σαν χάκερ, προσομοιώνετε επιθέσεις και προσπαθείτε να θέσετε σε κίνδυνο το σύστημα.

Εκμεταλλευτείτε το σύστημα και εκτελέστε κακόβουλες δραστηριότητες.

# 7) Αναφορά

Το παραπάνω βήμα θα αποτελούσε το κύριο βήμα δοκιμής, οπότε το τελευταίο βήμα θα πρέπει να είναι η σύνταξη μιας έκθεσης που θα αναφέρει όλα τα ευρήματα. Μια καλή έκθεση θα πρέπει να αποτελείται από λεπτομέρειες όλων των τρωτών σημείων που βρέθηκαν μαζί με το επιχειρηματικό και τεχνικό αποτέλεσμα εκτίμησης κινδύνου.

Ένα άλλο σημαντικό σημείο που μπορεί να αναφερθεί είναι η σύσταση για τη διόρθωση.

συμπέρασμα

Ελπίζω όλοι να απολαύσατε να διαβάσετε αυτό το άρθρο σχετικά με τη δοκιμή πένας για εφαρμογές για κινητά. Κατά τη γνώμη μου, οι δοκιμές κινητικότητας εξακολουθούν να είναι ένας τομέας που δεν έχει διερευνηθεί πλήρως.

Ωστόσο, μπορούμε να το θεωρήσουμε ότι έχει φέρει μια αλλαγή και μας δίνει την ευκαιρία να ξανασκεφτούμε τις δυνατότητές μας και να αρχίσουμε να σκεφτόμαστε έξω από το κουτί και διαφορετικό από την παραδοσιακή μας προσέγγιση δοκιμών. Οι προγραμματιστές κάνουν τη δημιουργικότητά τους και έρχονται με διαφορετικές παραλλαγές εφαρμογών, οπότε ακόμη και εμείς ως δοκιμαστές έχουμε πολλά να κάνουμε!

Ελπίζω να έχετε μια καλή εικόνα σχετικά με τα εργαλεία δοκιμής διείσδυσης εφαρμογών για κινητές συσκευές και τους παρόχους υπηρεσιών !!

Συνιστώμενη ανάγνωση

^