Тестирование безопасности мобильных приложений

Защитите свои приложения iOS и Android от небезопасного хранения данных, слабой криптографии и неисправной аутентификации API.

Ручное экспертное тестирование

Отчётность для руководства

Рекомендации по устранению

Повторное тестирование и аттестация

Анализ прошивки

Тестирование оборудования

Получить бесплатную консультацию Экстренное реагирование

Обзор

Тестирование безопасности мобильных приложений оценивает приложения iOS и Android на наличие уязвимостей в коде, хранении данных, коммуникациях и интеграции с платформой. Оно сочетает обратную разработку и статический анализ двоичного файла с динамическим тестированием на инструментированных устройствах, измеряемым по стандарту OWASP MASVS. Мобильные приложения хранят конфиденциальные данные о пользователях и компании и являются частыми целями таких угроз, как небезопасное хранение, злоупотребление API, подделка кода и обратная разработка. Тестирование безопасности выявляет эти слабые места до того, как злоумышленники смогут их использовать.

Методология и стандарты

OWASP MASVS (L1, L2, MASVS-R), OWASP MASTG и MAS Checklist, с тестированием бэкенда по OWASP API Top 10. Инструментарий включает MobSF, Frida, Objection, Burp Suite, Drozer, JADX и Ghidra.

Что входит

Статический анализ и обратная разработка IPA/APK

Динамический анализ на устройствах с джейлбрейком или инструментированных устройствах

Оценка обработки данных на стороне клиента и на устройстве

Тестирование бэкенда и API, от которых зависит приложение

Оценка безопасного хранения

Анализ аутентификации и управления сессиями

Проверка безопасности API

Тестирование устойчивости к обратной разработке

Что вы получаете

Результаты, сопоставленные с контролями MASVS, с достигнутым уровнем MASVS

Проблемы на стороне клиента и сервера с доказательствами и доказательством концепции

Рекомендации по устранению, повторное тестирование и письмо-аттестация

Рекомендации по устранению, адаптированные для разработчиков, отчётность для руководства и сопровождение валидации повторным тестированием

Согласовано с OWASPОтчётность для руководстваРекомендации по устранениюПовторное тестирование включеноПисьмо-аттестацияБез дампов сканеров

Часто задаваемые вопросы

Да. Мы тестируем каждую платформу отдельно, поскольку код, хранение данных и API платформы различаются, и оцениваем бэкенд-API, с которыми взаимодействует приложение, после чего представляем результаты по платформам и общие результаты.

Да. Мы проводим тестирование методом чёрного и серого ящика, выполняя обратную разработку скомпилированного приложения. Исходный код и тестовая сборка повышают глубину и скорость, но не являются обязательными.

Уровень L1 — это базовый уровень для всех приложений. Уровень L2 добавляет эшелонированную защиту для приложений, обрабатывающих конфиденциальные данные, а MASVS-R добавляет устойчивость к обратной разработке и подделке. Мы определяем уровень, соответствующий вашему риску.

Мобильные приложения часто обрабатывают конфиденциальные данные о пользователях и компании. Тестирование безопасности помогает выявить такие слабые места, как небезопасное хранение, уязвимости API и подделка кода, прежде чем их можно будет использовать.

Кому это нужно

Получить бесплатную консультацию

Запуск в магазинах приложений или на корпоративном уровне, финтех- и медицинские приложения, обрабатывающие конфиденциальные данные, программы SOC 2 / ISO, а также приложения, добавляющие платежи или биометрическую аутентификацию.

Записаться на консультацию

Наши обязательства

Статический анализ и обратная разработка IPA/APK
Динамический анализ на устройствах с джейлбрейком или инструментированных устройствах
Оценка обработки данных на стороне клиента и на устройстве
Тестирование бэкенда и API, от которых зависит приложение

Связанные услуги

Наступательная безопасность

Дополнительное тестирование

Управляемая безопасность

Облако и DevOps

Международные стандарты

Регулирование Индии

Конфиденциальность и облако

Аудит и гарантии

Бесплатное сканирование конфиденциальности