Penetrační testování mobilních a desktopových aplikací

Pomocí penetračního testu nasimulujeme útok na vaši aplikaci a odhalíme zranitelná místa. Na základě výsledku testu vám dodáme srozumitelný report a v případě potřeby pomůžeme s odstraněním zranitelností.

V Auxilium Cyber Security máme zkušenosti s penetračním testováním aplikací postavených na různých základech od mobilních aplikací pro Android přes Windows aplikace až po aplikace určené pro Linux.

Cíle

Hlavním cílem penetračního testu je odhalit bezpečnostní slabiny vaší aplikace a navrhnout adekvátní opatření k jejich odstranění.

Metodika penetračního testování aplikací

Při penetračních testech aplikací obvykle následujeme průmyslový standard OWASP díky kterému otestujeme danou aplikaci na všechny běžné zranitelnosti. Konkrétně v případě mobilních aplikací se jedná o OWASP Mobile Top 10:

1. M1: Improper Platform Usage
2. M2: Insecure Data Storage
3. M3: Insecure Communication
4. M4: Insecure Authentication
5. M5: Insufficient Cryptography
6. M6: Insecure Authorization
7. M7: Client Code Quality
8. M8: Code Tampering
9. M9: Reverse Engineering
10. M10: Extraneous Functionality

OWASP Mobile Top 10 reference pro více informací: https://owasp.org/www-project-mobile-top-10/

Náš přístup k penetračnímu testování aplikací

1. Stanovení základního rámce penetračního testu

První fáze slouží k pochopení potřeb klienta a k detailnímu seznámení se s aplikací, především pak s její funkcionalitou a architekturou. Výstupem je detailní pochopení potřeb klienta a stanovení základního rámce penetračního testu.

2. Vypracování detailní nabídky a její schválení

Na základě pochopení vašich potřeb a požadavků je vypracována detailní nabídka. V rámci nabídky jsou popsány metodiky testování, testovací scénáře, způsob reportování výsledků a především pak rozsah penetračního testu. Dále je zde navrhnut časový rámec potřebný k úspěšnému vykonání penetračního testu. Výstupem této fáze je odsouhlasení finální nabídky.

3. Penetrační testování

Samotné penetrační testování pak probíhá dle stanovených a odsouhlasených požadavků. Během něj naši certifikovaní penetrační testeři odhalí jednotlivé zranitelnosti a předvedou vám, jak tyto zranitelnosti mohou být zneužity případným útočníkem.

4. Reporting

Vašemu týmu doručíme detailní technickou zprávu, která obsahuje ukázky jednotlivých zranitelností, a návrhů na jejich odstranění. V případě potřeby také ochotně dodáme finální zprávu ve formě prezentace, či manažerského shrnutí daného penetračního testu, které bude srozumitelně komunikovat nálezy a rizika s nimi spojené vedení vaší společnosti.

5. Podpora při odstranění zranitelností

Pokud má vaše organizace omezené vývojové kapacity, můžeme poskytnout součinnost a podporu s odstraňováním odhalených zranitelností.

6. Možnost proškolení vývojového týmu

V Auxilium Cyber Security jsme také schopni na základě výsledků penetračních testů vytvořit pokyny pro bezpečné kódování (secure coding guidelines) a připravit vašemu týmu školení na téma bezpečného vývoje.

Proč si vybrat právě nás?

1. Náš tým se skládá ze zkušených penetračních testerů s certifikáty OSCP, OSCE nebo CISM.
2. Vlastní výzkum v oblasti kybernetické bezpečnosti.
3. Dodáme srozumitelný a detailní technický report včetně návrhů na odstranění zranitelností.
4. Spolupráce může probíhat v češtině, angličtině nebo němčině.
5. S penetračním testováním podnikové infrastruktury máme zkušenosti od roku 2015.
6. V případě potřeby vytvoříme na základě výsledků penetračních testů pokyny pro bezpečné kódování nebo proškolíme vývojový tým.

Náš výzkum v oblasti kybernetické bezpečnosti aplikací

1. 1. Z eObčanky je pomocí viru teoreticky možné ukrást identitu, zjistily bezpečnostní firmy
2. [CVE-2020-26800] Stack based buffer overflow while parsing JSON file in Aleth C++ Ethereum client

Selected reference in mobile and desktop penetration testing

1. Asseco Solutions: Penetrační test mobilní aplikace pro Android.
2. Asseco Solutions: Penetrační test desktopové aplikace pro Windows.