mobile application penetration testing tools service providers
모바일 애플리케이션의 펜 테스트에 대한 단계별 가이드 (도구 및 서비스 제공 업체 포함) :
10 년 전, 기술의 발전으로 우리 모두는 IT 산업에 대해 이해하기 시작했고 그때가 바로 컴퓨터 시스템을 사용하여 무엇을 어떻게 할 수 있는지 알게되었습니다.
서서히 은행을 직접 방문하고 대기열에서 거래를 수행하는 대신 인터넷을 사용하여 온라인 송금이 가능해졌습니다. 이러한 수요로 인해 모든 은행이 온라인으로 운영되기 시작했습니다.
그러나 처음부터이 기능을 사용하여 우리 모두가 편안하고 안전하다고 느꼈습니까? 대부분의 사람들이 '아니오'라고 대답 할 것입니다.
돈 문제에 관해서는 우리 모두는 두 번 생각합니다.
새로 출시 될 때 우리는 모든 측면에서 보안을 유지하기를 원하며, 오늘날 우리가 사용하는 모든 웹 사이트는 대중에게 노출되기 전에 여러 단계의 보안 검사를 거칩니다. 이제 추세가 다시 바뀌고 있으며 모바일 앱에서만 가능한 버튼 클릭 한 번으로 모든 일이 일어나기를 원합니다.
Play 스토어 또는 iStore에서 다운로드 한 모든 모바일 앱이 사용하기에 안전한지 어떻게 확인합니까? 모든 다운로드에는 악의적 인 공격의 위험이 따릅니다. 같은 이유로, 자신의 앱이 다른 앱보다 선호되도록하기 위해 앱 개발자는 실제로 다운로드를 위해 게시하기 전에 앱이 성공적으로 보안 테스트를 받았는지 확인해야합니다.
이 기사에서는 모바일 앱의 유형, 모바일 앱의 침투 테스트에서 기대할 수있는 사항, 테스트 수행 방법, 모바일 앱 테스트를위한 서비스를 제공하는 서비스 제공 업체 및 사용 가능한 도구 목록에 대해 간략히 설명합니다. 테스트.
학습 내용 :
- 모바일 앱 및 유형
- 모바일 앱 침투 테스트 서비스 제공 업체
- 모바일 앱 침투 테스트 도구
- 인기있는 더미 취약성 모바일 앱
- 테스트에서 무엇을 기대해야합니까?
- 침투 테스트 모바일 앱 단계
- 결론
- 추천 도서
모바일 앱 및 유형
우리가 깊이 들어가기 전에 어떻게 펜 테스트 모바일 앱 , 모바일 앱에 대한 배경 지식이 있는지 확인하는 것이 매우 중요합니다.
다양한 유형의 모바일 앱을 이해하겠습니다.
Windows 10 용 최고의 VM 소프트웨어
# 1) 네이티브 모바일 애플리케이션
네이티브 앱은 iOS 또는 Android와 같은 특정 플랫폼 용으로 특별히 특정 프로그래밍 언어로 작성된 앱을 의미하며 Google Play 스토어 나 Apple 앱 스토어와 같은 각 스토어에서 설치할 수 있습니다. 가장 사용자 친화적 인 경험을 제공하며 아이콘을 클릭하기 만하면 작동 할 수 있습니다.
좋은 예 네이티브 앱 중에는 Facebook, Instagram, Angry Birds 등이 있습니다.
유일한 문제는 이러한 앱이 모든 유형의 장치에서 작동하지 않는다는 것입니다. 예를 들어 Android 용으로 만든 앱은 iOS에서 작동하지 않으며 그 반대의 경우도 마찬가지입니다. 기본 앱은 인터넷 연결 없이도 작동 할 수 있습니다.
# 2) 모바일 브라우저 기반 애플리케이션 / 모바일 웹 애플리케이션
모바일 웹 앱은 기본적으로 브라우저에서 실행되는 앱이며 장치에 독립적입니다.
동일한 앱은 iOS 장치 또는 Android 스마트 폰을 사용하여 실행할 수 있습니다. 이러한 앱은 대부분 HTML5로 작성되었습니다. 스토어에서 허용하기 위해 Google 또는 Apple의 허가가 필요하지 않기 때문에 게시하기 쉽습니다.
웹 앱은 관련 웹 사이트에서 제공되는 다운로드 버튼을 사용하여 직접 다운로드 할 수 있습니다. 전형적인 예는 Flipkart, Amazon 등과 같은 쇼핑 사이트입니다.
# 3) 모바일 하이브리드 애플리케이션
이들은 부분적으로 네이티브이고 부분적으로 네이티브가 아닌 애플리케이션입니다. 상점에서 다운로드 할 수있을뿐만 아니라 브라우저에서도 실행할 수 있습니다.
이러한 유형의 앱을 개발할 때 얻을 수있는 이점은 크로스 플랫폼 개발을 지원하므로 전체 개발 비용을 줄여 다른 장치에서 동일한 코드 구성 요소를 재사용 할 수 있다는 것입니다. 또한 이러한 앱을 빠르게 개발할 수 있습니다.
또한 하이브리드 모바일 앱을 사용하면 기본 및 웹 앱의 기능을 모두 사용할 수 있습니다.
모바일 앱 침투 테스트 서비스 제공 업체
우리의 추천
# 1) 암호
암호 최고의 모바일 앱 펜 테스트 서비스 제공 업체 중 하나입니다. 고효율 SOC I 및 SOC II Type 2 인증 관리 형 보안 및 컨설팅 서비스를 제공하는 글로벌 보안 회사로 알려져 있습니다.
본부: 미국 마이애미
설립 : 2000 년
직원 : 300
수익: $ 20 ~ $ 5,000 만
핵심 서비스 : 침투 테스트 및 윤리적 해킹 서비스, 취약성 평가, 위험 및 평가, PCI 평가 및 컨설팅, 소프트웨어 보안 보증, 위협 모니터링 등
풍모:
- 시스템이 위험을 관리하면서 지능형 위협으로부터 방어하도록 지원합니다.
- Cipher는 시스템 규정 준수를 보장하는 효율적이고 혁신적인 솔루션을 제공합니다.
- 관련된 모든 조직에 독점적이고 전문화 된 보안 서비스를 제공합니다.
기타 서비스 제공 업체 :
- Appsec
- Procheckup
- 법무관
- Cigital
- Wesecureapp
- Netspi
- CyberChops
- 앱 레이
- 점프 섹
- 사이언스 소프트
모바일 앱 침투 테스트 도구
기타 도구 :
- 포트 스캐너 (Android)
- Fing (Android 및 iOS)
- DroidSheep (Android)
- Intercepter-NG (Android)
- Nessus (Android)
- Droid SQLi (Android)
- Orweb (Android)
인기있는 더미 취약성 모바일 앱
일반적으로 사용자에게 모바일 테스트에 대한 아이디어를 제공하기 위해 만들어진 잘 알려진 취약한 모바일 애플리케이션이 있습니다. 이러한 앱에는 사용자 / 테스터가 펜 테스트 지식을 연습하고 향상시키는 데 도움이되는 취약성이 있습니다.
iMAS, GoatDroid, DVIA, MobiSec을 참조 할 수 있습니다.
테스트에서 무엇을 기대해야합니까?
테스트 뒤에있는 이유는 가능한 한 많은 문제를 찾아 내고 최종 사용자에게 실제로 영향을 미치기 전에 문제가 발견되었는지 확인하는 것입니다. 모바일 보안 문제가 발생하는 주된 이유는 개발자가 보안 앱보다 유용한 앱을 만들고 싶어하고 앱을 개발하는 동안 보안 인식이 부족할 가능성이 있기 때문입니다.
이 섹션에서는 테스트의 일부로주의해야 할 몇 가지 취약점 / 보안 결함에 대해 설명합니다.
찾아봐야 할 일반적인 보안 결함 :
1) 데이터 저장 형식 :그것은 모두 데이터가 저장되는 형식에 따라 다릅니다. 일반 텍스트이든 다른 형식이든 상관 없습니다. 에 대한 예 : ., Android는 사용자 이름과 비밀번호를 일반 텍스트로 저장하므로이를 더욱 취약하게 만듭니다.
2) 저장된 민감한 데이터 :때때로 개발자는 암호를 하드 코딩하거나 쉽게 손상 될 수있는 민감한 정보를 저장합니다.
3) 잘못된 코딩 방법 : FREAK 공격에 취약한 Open SSL 라이브러리의 사용 여부는 확인해야 할 사항 중 하나입니다.
4) 데이터 암호화 : 데이터 전송이 안전한 방식으로 이루어지고 저장된 데이터가 암호화되도록하는 것이 중요합니다.
5) 약한 암호 생성 : 앱에는 비밀번호 안전성을 확인하는 메커니즘이 있어야합니다. 취약한 암호는 항상 공격에 취약합니다.
6) 데이터 동기화 : 데이터 전송 또는 데이터 동기화는 안전한 방법을 통해 수행되어야합니다. 데이터가 전송되거나 클라우드와 동기화되는 방식은 공격으로 이어질 수 있으므로 데이터 손실이 발생할 수 있습니다.
모바일 앱은 시장에서 상당히 새롭고 웹에서와 같이 사용할 수있는 스캐너가 여러 개 없으며 여전히 치트 시트를 만들거나 스캔 및 스캔 방법을 마련하고 있기 때문에 웹 테스트와 비교할 때 여전히 어려운 과제로 남아 있습니다. 최종 사용자를 위해 더 안전한 모바일 앱을 만들 수 있습니다.
침투 테스트 모바일 앱 단계
모바일 앱의 펜 테스트와 관련된 특정 단계가 있습니다.
그들은:
# 1) 테스트 환경 설정
테스트 환경 설정은 그 자체로 프로세스이며 별도의 읽기 주제가 될 수 있습니다. :)
테스트에 따라 다르기 때문에 여기서 테스트 환경 설정에 대한 자세한 내용은 언급하지 않았습니다. 이 단계를 완전히 놓치고 싶지 않았기 때문에 여기에 포함했습니다.
일부 테스트는 실제 장치에서 수행 할 수 있지만 일부는 에뮬레이터에서 수행 할 수 있습니다. 또한 테스트 할 플랫폼에 따라 다릅니다. Android 애플리케이션의 경우 SDK를 설치해야 할 수 있으며 iOS의 경우 탈옥이 필요합니다.
# 2) 발견 / 응용 이해
각 모바일 애플리케이션은 다르게 작동하므로 테스트의 첫 번째 단계는 테스트중인 애플리케이션에 대한 추가 정보를 발견하거나 찾는 것입니다. 여기에는 애플리케이션이 OS 및 백엔드 서버에 연결하는 방법을 식별하는 것도 포함되어야합니다.
여기에는 사용 된 라이브러리를 확인하고, 플랫폼을 더 잘 이해하고, 애플리케이션이 네이티브 / 웹 / 하이브리드 유형인지 확인하는 것이 포함되어야합니다. 이 단계는 다음과 같이 호출 할 수도 있습니다. 정보 수집 단계 .
# 3) 애플리케이션 분석 / 평가
이 단계의 일부로 모바일 디바이스에 애플리케이션을 설치하고 설치 전후에 파일 시스템 및 레지스트리의 스냅 샷을 작성하십시오.
민감한 정보가 저장되는 방식, 데이터가 전송되는 방식, 제 3 자와의 상호 작용이 발생하는 방식 등의 이해와 같이 취약한 영역과 악용 될 수있는 영역을 식별하는 데 사용할 수있는 정보를 분석합니다.
# 4) 리버스 엔지니어링
테스터에게 소스 코드가없는 경우 필요합니다. 코드 검토는 애플리케이션이 내부적으로 어떻게 작동하는지 이해하기 위해 계획됩니다. 이를 수행하는 목적은 취약점을 검색하는 것입니다.
# 5) 교통 차단
이 단계에서 프록시를 통해 라우팅하도록 장치를 구성하면 트래픽을 가로 채고 주입 또는 권한 부여 문제와 같은 결함을 찾는 데 도움이됩니다.
# 6) 작동
분석 및 프록시 설정이 완료되면 해커처럼 행동하고 공격을 시뮬레이션하고 시스템을 손상시키려는 곳에서 악용을 수행 할 수 있습니다.
시스템을 악용하고 악의적 인 활동을 수행합니다.
# 7)보고
위의 단계는 주요 테스트 단계를 형성하므로 마지막 단계는 모든 결과에 대해 언급하는 보고서를 작성하는 것입니다. 좋은 보고서는 비즈니스 및 기술 위험 평가 점수와 함께 발견 된 모든 취약성에 대한 세부 정보로 구성되어야합니다.
언급 할 수있는 또 다른 중요한 점은 수정 권장 사항입니다.
결론
모두가 모바일 앱 펜 테스트에 대한이 기사를 즐겁게 읽으 셨기를 바랍니다. 제 생각에는 이동성 테스트는 아직 완전히 탐구되지 않은 영역입니다.
그러나 우리는 이것이 변화를 가져 왔다고 생각할 수 있으며 우리의 능력을 재고하고 기존의 테스트 접근 방식과는 다르게 생각할 수있는 기회를 제공합니다. 개발자들은 창의력을 발휘하고 다양한 앱을 개발하고 있으므로 테스터로서 우리도 할 일이 많습니다!
xbox 360 용 vr 헤드셋이 있습니까?
모바일 앱 침투 테스트 도구 및 서비스 제공 업체에 대한 훌륭한 통찰력을 얻었기를 바랍니다 !!