mobile application penetration testing tools service providers
Bir Mobil Uygulamayı Kalemle Test Etmek İçin Adım Adım Kılavuz (Araçlar ve Servis Sağlayıcılarla):
On yıl önce, teknolojinin evrimi sayesinde, hepimiz BT endüstrisini anlamaya başladık ve o zamandı, hepimiz bilgisayar sistemleri kullanılarak nasıl ve ne yapılabileceğini öğrendik.
Yavaş yavaş, bankayı şahsen ziyaret etmek ve işlem yapmak için kuyrukta beklemek yerine internet üzerinden para transferi yapmak mümkün hale geldi. Bu talep nedeniyle tüm bankalar online işlem yapmaya başladı.
Ancak, bu özelliği en başından beri kullanırken kendimizi rahat ve güvende hissettim mi, çoğumuzun söyleyeceği cevap 'HAYIR'.
Konu para olduğunda, hepimiz iki kez düşünüyoruz.
Yeni bir şey piyasaya sürüldüğünde, her açıdan güvenli olduğundan emin olmak istiyoruz, günümüzde kullandığımız tüm web siteleri, halka açıklanmadan önce birkaç güvenlik kontrol katmanından geçer. Şimdi trend yeniden değişiyor ve biz her şeyin yalnızca Mobil Uygulamalar kullanılarak mümkün olan bir düğmeye tıklanarak gerçekleşmesini istiyoruz.
Oyun mağazasından veya iStore'dan indirdiğiniz tüm mobil uygulamaların güvenli olduğundan nasıl emin oluyorsunuz? Herhangi bir indirme ile birlikte kötü niyetli saldırı riski de gelir. Aynı nedenle ve uygulamalarının diğerlerine göre tercih edilmesini sağlamak için, uygulama geliştiricileri, gerçekten indirme için yayınlamadan önce uygulamalarının güvenliğinin başarıyla test edildiğinden emin olmalıdır.
Bu makale, mobil uygulamaların türleri, mobil uygulamaların sızma testinden neler beklenebileceği, testlerin nasıl yapılacağı, mobil uygulama testi için hizmet sunan hizmet sağlayıcıları ve aşağıdakiler için kullanılabilecek bazı araçların bir listesi hakkında size bilgi verecektir. test yapmak.
Ne öğreneceksin:
- Mobil Uygulamalar ve Türleri
- Mobil Uygulama Sızma Testi Hizmet Sağlayıcıları
- Mobil Uygulama Sızma Testi Araçları
- Birkaç Popüler Sahte Hassas Mobil Uygulama
- Testinizden Ne Beklemelisiniz?
- Mobil Uygulamaları Sızma Testi Adımları
- Sonuç
- Önerilen Kaynaklar
Mobil Uygulamalar ve Türleri
Derine inmeden önce nasıl kalem testi bir mobil uygulama Mobil Uygulamalar hakkında biraz arka plan bilgisine sahip olduğunuzdan emin olmak çok önemlidir.
Farklı Mobil Uygulama türlerini anlayalım.
android için casus uygulamaları listesi
# 1) Yerel Mobil Uygulama
Yerel Uygulama, iOS veya Android gibi belirli bir platform için oluşturulan, özellikle belirli bir programlama dilinde yazılmış ve Google'ın oyun mağazası veya Apple'ın uygulama mağazası gibi ilgili mağazalardan yüklenebilen uygulamalar anlamına gelir. En kullanıcı dostu deneyimi sunarlar ve simgeye tıklanarak çalıştırılabilirler.
Biraz iyi örnekler Yerel uygulamalar arasında Facebook, Instagram, Angry Birds vb.
Tek sorun, bu uygulamaların Android için bir uygulama oluşturulmuşsa olduğu gibi her tür cihazla çalışmaması, iOS'ta çalışmaması ve bunun tersi olmasıdır. Yerel Uygulamalar, İnternet bağlantısı olmadan da çalışabilir.
# 2) Mobil Tarayıcı Tabanlı Uygulama / Mobil Web Uygulamaları
Mobil Web uygulamaları temelde bir tarayıcıda çalışan uygulamalardır ve cihazdan bağımsızdır.
Aynı uygulama bir iOS cihazı veya bir Android Akıllı Telefon kullanılarak çalıştırılabilir. Bu uygulamalar çoğunlukla HTML5 ile yazılmıştır. Mağazalarında izin vermek için Google veya Apple'dan izin almaları gerekmediği için yayınlanması kolaydır.
Web uygulamaları, ilgili web sitelerinde bulunan indirme düğmesi kullanılarak doğrudan indirilebilir. Tipik bir örnek Flipkart, Amazon vb. Alışveriş sitelerimizdir.
# 3) Mobil Hibrit Uygulama
Bunlar kısmen yerli ve kısmen yerli olmayan uygulamalardır. Mağazalardan indirilebildiği gibi tarayıcıda da çalıştırılabilirler.
Bu tür uygulamaları geliştirmenin yararı, platformlar arası geliştirmeyi desteklemesi ve dolayısıyla genel geliştirme maliyetini düşürmesidir, bu da aynı kod bileşeninin farklı bir cihazda yeniden kullanılmasına izin verdiği anlamına gelir. Ayrıca bu uygulamalar hızlı bir şekilde geliştirilebilir.
Ek olarak, hibrit mobil uygulamalar hem yerel hem de web uygulamalarının özelliklerine sahip olmanızı sağlar.
Mobil Uygulama Sızma Testi Hizmet Sağlayıcıları
Bizim önerimiz
# 1) Şifre
Şifre en iyi Mobil Uygulama Kalem Testi Hizmet Sağlayıcılarından biridir. Yüksek verimli SOC I ve SOC II Tip 2 sertifikalı yönetilen güvenlik ve danışmanlık hizmetleri sunan küresel bir güvenlik şirketi olarak bilinir.
Merkez: Miami, ABD
Kurulmuş: 2000
Çalışanlar: 300
Gelir: 20-50 milyon dolar
Temel Hizmetler: Sızma Testi ve Etik Hacking Hizmetleri, Güvenlik Açığı Değerlendirmesi, Risk ve Değerlendirme, PCI Değerlendirmesi ve Danışmanlığı, Yazılım Güvenliği Güvencesi, Tehdit İzleme vb.
Özellikleri:
- Sistemin riskleri yönetirken gelişmiş tehditlere karşı savunma yapmasına yardımcı olur.
- Cipher, sistem uyumluluğunu sağlamak için verimli ve yenilikçi çözümler sunar.
- İlişkili her organizasyona özel ve özel güvenlik hizmetleri sağlar.
Birkaç Diğer Servis Sağlayıcı:
- Appsec
- Procheckup
- Praetorian
- Cigital
- Wesecureapp
- Netspi
- CyberChops
- Uygulama ışını
- Jumpsec
- Sciencesoft
Mobil Uygulama Sızma Testi Araçları
- Core Impact Pro (Android, iOS ve Windows)
- ZANTI (Android)
- Ianalyzer (iOS)
- DVIA (iOS)
Diğer Aletler:
- Port Tarayıcı (Android)
- Fing (Android ve iOS)
- DroidSheep (Android)
- Intercepter-NG (Android)
- Nessus (Android)
- Droid SQLi (Android)
- Orweb (Android)
Birkaç Popüler Sahte Hassas Mobil Uygulama
Genel olarak, kullanıcılara Mobil Test hakkında fikir vermek için oluşturulmuş iyi bilinen bazı savunmasız mobil uygulamalar vardır. Bu uygulamalar, kullanıcıların / test uzmanlarının pratik yapmalarına ve kalem testi bilgilerini geliştirmelerine yardımcı olmak için kasıtlı güvenlik açıklarına sahiptir.
İMAS, GoatDroid, DVIA, MobiSec'e başvurabilirsiniz:
Testinizden Ne Beklemelisiniz?
Testin arkasındaki sebep, olabildiğince çok sorunu bulmak ve sorunların son kullanıcıları gerçekten etkilemeden önce bulunmasını sağlamaktır. Mobil güvenlik sorunu almanın ana nedeni, geliştiricilerin güvenli uygulamalardan daha kullanışlı uygulamalar oluşturmak istemeleri ve uygulamaları geliştirirken güvenlik farkındalığının olmaması ihtimalidir.
Bu bölümde, testin bir parçası olarak dikkat etmeniz gereken bazı güvenlik açıklarını / Güvenlik Kusurlarını size anlatacağım.
Aranacak Ortak Güvenlik Kusurları:
1) Veri Depolama formatı :Her şey, verilerin saklandığı biçime bağlıdır. İster düz metin ister diğer biçimlerde olsun. İçin Örneğin ., Android kullanıcı adını ve şifreyi düz metin olarak saklar ve bu da onu daha savunmasız hale getirir.
2) Saklanan Hassas Veriler :Bazen geliştiriciler şifreleri sabit kodlar veya kolayca tehlikeye atılabilecek hassas bilgileri saklar.
3) Kötü Kodlama Yöntemleri: FREAK saldırısına karşı savunmasız olan Açık SSL kitaplığının kullanımı, kontrol edilmesi gereken şeylerden biridir.
4) Veri Şifreleme: Veri aktarımının güvenli bir şekilde yapılmasını ve saklanan verilerin şifrelenmesini sağlamak önemlidir.
5) Zayıf Parola Oluşturma: Uygulamaların şifre gücünü kontrol etmek için bir mekanizması olmalıdır. Zayıf şifreler her zaman saldırılara karşı savunmasızdır.
6) Veri Senkronizasyonu: Veri iletimi veya veri senkronizasyonu güvenli bir yöntemle yapılmalıdır. Verilerin bulut ile iletilme veya senkronize edilme şekli saldırılara ve dolayısıyla veri kaybına neden olabilir.
Mobil uygulamalar pazarda oldukça yeni olduğundan ve web'de olduğu gibi çok sayıda tarayıcımız olmadığından ve hala hile sayfaları oluşturduğumuz veya tarama ve tarama yollarını bulduğumuzdan, bir mobil uygulamayı test etmek, web testiyle karşılaştırıldığında hala bir zorluk olmaya devam ediyor. son kullanıcılar için oluşturulmuş daha güvenli mobil uygulamalara sahip olmak.
Mobil Uygulamaları Sızma Testi Adımları
Mobil Uygulamaları Kalem Testi ile ilgili belirli adımlar vardır.
Onlar:
# 1) Test Ortamı Kurulumu
Test Ortamı kurulumu başlı başına bir süreçtir ve okumak için ayrı bir konu olabilir :)
Teste göre farklılık göstereceği için burada bir test ortamı kurma hakkında çok fazla ayrıntıdan bahsetmedim. Bu adımı tamamen kaçırmak istemediğim için buraya ekledim.
Testlerin bir kısmı gerçek bir cihazda gerçekleştirilebilirken, bir kısmı da Emülatörler üzerinde yapılabilir. Ayrıca, test etmeyi planladığımız platforma göre de farklılık gösterir. Android uygulamaları için SDK'ları yüklememiz gerekebilir ve iOS için jailbreak yapılması gerekir.
# 2) Keşfetme / Uygulama Anlama
Her mobil uygulama farklı çalışacaktır, bu nedenle testinizin ilk adımı, test edilen uygulama hakkında daha fazla bilgi keşfetmek veya bulmak olmalıdır. Bu aynı zamanda uygulamanın işletim sistemine ve arka uç sunucuya nasıl bağlandığını tanımlamayı da içermelidir.
Kullanılan kitaplıkların kontrol edilmesini, platformu daha iyi anlamasını ve uygulamanın yerel / web / hibrit tip olup olmadığını bulmayı içermelidir. Bu adım şu şekilde de adlandırılabilir: Bilgi Toplama adımı .
# 3) Uygulama Analizi / Değerlendirme
Bu adımın bir parçası olarak, uygulamayı mobil cihaza yükleyin ve kurulumdan önce ve sonra dosya sisteminin ve kayıt defterinin anlık görüntüsünü alın.
Hassas bilgilerin nasıl depolandığını, verilerin nasıl iletildiğini, üçüncü şahısla nasıl etkileşimin gerçekleştiğini anlamak gibi zayıflık alanlarını ve hangilerinin kullanılabileceğini belirlemek için mevcut bilgileri analiz edin.
# 4) Tersine Mühendislik
Test kullanıcısı kaynak koduna sahip değilse bu gerekli olacaktır. Uygulamanın dahili olarak nasıl çalıştığını anlamak için kod incelemeleri planlanacaktır. Bunu yapmanın amacı, güvenlik açıklarını aramaktır.
# 5) Trafik Durdurma
Bu adımda, cihazı bir proxy üzerinden yönlendirecek şekilde yapılandırın, bu da trafiğin kesilmesine ve enjeksiyon veya yetkilendirme sorunları gibi kusurların bulunmasına yardımcı olacaktır.
# 6) Operasyon
Analiz ve proxy ayarı yapıldıktan sonra, bir hacker gibi davrandığınız, saldırıları simüle ettiğiniz ve sistemi tehlikeye atmaya çalıştığınız yerlerde istismar yapılabilir.
Sistemden yararlanın ve kötü niyetli faaliyetler gerçekleştirin.
# 7) Raporlama
Yukarıdaki adım, ana test adımını oluşturacaktır, bu nedenle son adım, tüm bulgulardan bahseden bir rapor hazırlamak olmalıdır. İyi bir rapor, iş ve teknik risk değerlendirme puanıyla birlikte bulunan tüm güvenlik açıklarının ayrıntılarını içermelidir.
Bahsedilebilecek bir diğer önemli nokta da düzeltmeye yönelik tavsiyedir.
Sonuç
Umarım hepiniz mobil uygulama kalem testi hakkındaki bu makaleyi okumaktan zevk almışsınızdır. Kanımca, mobilite testi hala tam olarak araştırılmamış bir alan.
Bununla birlikte, bunun bir değişiklik getirdiğini düşünebilir ve bize yeteneklerimizi yeniden düşünme ve geleneksel test yaklaşımımızdan farklı ve kutunun dışında düşünmeye başlama fırsatı verebiliriz. Geliştiriciler yaratıcılıklarını ortaya koyuyor ve farklı uygulama çeşitleri geliştiriyorlar, bu yüzden biz testçiler olarak bile yapacak çok şeyimiz var!
sahte e-posta nasıl kurulur
Umarım Mobil Uygulama Penetrasyon Testi araçları ve servis sağlayıcıları hakkında harika bir fikir edinmişsinizdir !!
Önerilen Kaynaklar
- Bulut Performans Testi: Bulut Tabanlı Yük Testi Hizmet Sağlayıcıları
- 2021'de İlk 10 Yönetilen Test Hizmetleri Şirketi
- Web Uygulaması Sızma Testi İçin Yeni Başlayanlar Kılavuzu
- Mobil Uygulama Performans Test Kılavuzu
- Bulut Tabanlı Mobil Uygulama Testi: Tam Bir Genel Bakış
- İlk 10 Mobil Test Hizmet Sağlayıcı Firma
- En İyi Yazılım Test Araçları 2021 (QA Test Otomasyon Araçları)
- Masaüstü, İstemci Sunucu Testi ve Web Testi arasındaki fark