Penetrační testování mobilních a desktopových aplikací
Pomocí penetračního testu nasimulujeme útok na vaši aplikaci a odhalíme zranitelná místa. Na základě výsledku testu vám dodáme srozumitelný report a v případě potřeby pomůžeme s odstraněním zranitelností.
V Auxilium Cyber Security máme zkušenosti s penetračním testováním aplikací postavených na různých základech od mobilních aplikací pro Android přes Windows aplikace až po aplikace určené pro Linux.
Cíle
Hlavním cílem penetračního testu je odhalit bezpečnostní slabiny vaší aplikace a navrhnout adekvátní opatření k jejich odstranění.
Metodika penetračního testování aplikací
Při penetračních testech aplikací obvykle následujeme průmyslový standard OWASP díky kterému otestujeme danou aplikaci na všechny běžné zranitelnosti. Konkrétně v případě mobilních aplikací se jedná o OWASP Mobile Top 10:
- M1: Improper Platform Usage
- M2: Insecure Data Storage
- M3: Insecure Communication
- M4: Insecure Authentication
- M5: Insufficient Cryptography
- M6: Insecure Authorization
- M7: Client Code Quality
- M8: Code Tampering
- M9: Reverse Engineering
- M10: Extraneous Functionality
OWASP Mobile Top 10 reference pro více informací: https://owasp.org/www-project-mobile-top-10/
Náš přístup k penetračnímu testování aplikací
1. Stanovení základního rámce penetračního testu
První fáze slouží k pochopení potřeb klienta a k detailnímu seznámení se s aplikací, především pak s její funkcionalitou a architekturou. Výstupem je detailní pochopení potřeb klienta a stanovení základního rámce penetračního testu.2. Vypracování detailní nabídky a její schválení
Na základě pochopení vašich potřeb a požadavků je vypracována detailní nabídka. V rámci nabídky jsou popsány metodiky testování, testovací scénáře, způsob reportování výsledků a především pak rozsah penetračního testu. Dále je zde navrhnut časový rámec potřebný k úspěšnému vykonání penetračního testu. Výstupem této fáze je odsouhlasení finální nabídky.3. Penetrační testování
Samotné penetrační testování pak probíhá dle stanovených a odsouhlasených požadavků. Během něj naši certifikovaní penetrační testeři odhalí jednotlivé zranitelnosti a předvedou vám, jak tyto zranitelnosti mohou být zneužity případným útočníkem.4. Reporting
Vašemu týmu doručíme detailní technickou zprávu, která obsahuje ukázky jednotlivých zranitelností, a návrhů na jejich odstranění. V případě potřeby také ochotně dodáme finální zprávu ve formě prezentace, či manažerského shrnutí daného penetračního testu, které bude srozumitelně komunikovat nálezy a rizika s nimi spojené vedení vaší společnosti.5. Podpora při odstranění zranitelností
Pokud má vaše organizace omezené vývojové kapacity, můžeme poskytnout součinnost a podporu s odstraňováním odhalených zranitelností.6. Možnost proškolení vývojového týmu
V Auxilium Cyber Security jsme také schopni na základě výsledků penetračních testů vytvořit pokyny pro bezpečné kódování (secure coding guidelines) a připravit vašemu týmu školení na téma bezpečného vývoje.Proč si vybrat právě nás?
- Náš tým se skládá ze zkušených penetračních testerů s certifikáty OSCP, OSCE nebo CISM.
- Vlastní výzkum v oblasti kybernetické bezpečnosti.
- Dodáme srozumitelný a detailní technický report včetně návrhů na odstranění zranitelností.
- Spolupráce může probíhat v češtině, angličtině nebo němčině.
- S penetračním testováním podnikové infrastruktury máme zkušenosti od roku 2015.
- V případě potřeby vytvoříme na základě výsledků penetračních testů pokyny pro bezpečné kódování nebo proškolíme vývojový tým.
Náš výzkum v oblasti kybernetické bezpečnosti aplikací
- 1. Z eObčanky je pomocí viru teoreticky možné ukrást identitu, zjistily bezpečnostní firmy
- [CVE-2020-26800] Stack based buffer overflow while parsing JSON file in Aleth C++ Ethereum client
Selected reference in mobile and desktop penetration testing
- Asseco Solutions: Penetrační test mobilní aplikace pro Android.
- Asseco Solutions: Penetrační test desktopové aplikace pro Windows.
Telefon
Germany: +49 (0) 7243 - 718 77 55Czech Republic: +420 739 467 470
Adresse
76275 Ettlingen
Germany
17000 Prague
Czech Republic