
todayaugustus 12, 2022
Penetratietesten SECLINQ Security Specialist todayjuni 25, 2021
Penetratietests voor mobiele applicaties
Een penetratietest, ook wel pentest of ethisch hacken genoemd, is een cyberbeveiligingsaanpak waarmee bedrijven beveiligingsfouten kunnen opsporen, testen en markeren. Ethische hackers worden vaak gebruikt om penetratietests uit te voeren, waaronder het testen van mobiele applicaties. Om de hackbaarheid van de computersystemen, het netwerk of de webservices van een organisatie te beoordelen, imiteren dit interne personeel of derden de technieken en het gedrag van een kwaadwillende aanvaller.
Pentesten kunnen ook door bedrijven worden gebruikt om ervoor te zorgen dat ze zich houden aan de nalevingsnormen. Pentesters of ethische hackers gebruiken verschillende methoden en strategieën voor verschillende soorten penetratietesten, we gaan het licht werpen op penetratietesten voor mobiele applicaties.
Een pentest voor mobiele apps onderzoekt zowel de app, de API’s als de servers die dit ondersteunen. Cryptografische analyse en reverse engineering zijn vooral belangrijk in een pentest van een mobiele of desktoptoepassing.
Er zijn drie belangrijke methoden voor het testen van pennen, die elk pentesters een ander kennisniveau bieden om hun aanval uit te voeren. White box testing geeft de tester bijvoorbeeld volledige toegang tot het programma, inclusief de broncode en configuraties; black box testing geeft de tester geen toegang tot de applicatie, en grey box penetratietesten geven de tester een beperkte hoeveelheid toegang tot de applicatie.
Dus, na het definiëren van alle termen, laten we het onderwerp opsplitsen en beginnen met te praten over de stadia van een penetratietest voor mobiele applicaties
De beveiligingsaudit van een mobiele applicatie omvat de studie van de logica van de applicatie, de technische analyse en de analyse van elementen die kunnen worden geëxtraheerd (reverse engineering). We verwijzen naar statische analyse en dynamische analyse. Veelvoorkomende kwetsbaarheden van mobiele applicaties zijn gerelateerd aan het volgende:
Dus zoals we al zeiden tijdens het testen van mobiele app-penetratie, doorloop je twee hoofdfasen dynamische en statische analyse
Statische analyse of SAST (Static Application Security Testing) is gebaseerd op reverse engineering (of back engineering), het bestaat uit het extraheren van statische elementen uit de gecontroleerde applicatie, zoals broncode of meta-informatie. De elementen worden vervolgens geanalyseerd en bestudeerd totdat hun werking wordt begrepen.
Het doel van de pentester is om een feature aan te passen of er informatie uit te halen om kwetsbaarheden te vinden.
Inspectie van de broncode is vereist, zelfs bij opdrachten waarvoor geen broncode-audit geldt. Analyse van de broncode bespaart tijd bij het in kaart brengen van de applicatie en het begrijpen van de functionaliteit ervan, waardoor informatie wordt onthuld zoals de backend-databases, server-side informatie, authenticatiesysteem, API’s en de gebruikte programmeertalen en frameworks voor applicaties.
Dynamische code-analyse, aan de andere kant, houdt in dat de toepassing wordt getest wanneer deze actief is / wordt uitgevoerd. Zowel white-box- als black-box-testbenaderingen kunnen worden gebruikt om dynamische code-analyse uit te voeren. Het vinden van runtime-problemen zoals bufferoverflows, null-pointers en andere soorten kwetsbaarheden, evenals het inspecteren van elke polymorfe toestand van de toepassing, zijn de belangrijkste voordelen van dynamische code-analyse. Op een mobiel apparaat is een van de meest gebruikelijke methoden voor dynamische analyse:
Runtime-manipulatie: De meest voorkomende vorm van runtime-manipulatie is om de toepassing in de foutopsporingsmodus uit te voeren en te proberen deze te doorbreken met verschillende geautomatiseerde benaderingen. Deze aanpak wordt gebruikt op Android met adb of de native Android-debugger. Om vergelijkbare resultaten op iOS te bereiken, worden technologieën zoals cycript gebruikt.
Penetratietests voor mobiele API’s: mobiele API’s zijn een beveiligingsprioriteit omdat ze gegevens manipuleren en communiceren met servers. Het beveiligen van de API is een noodzakelijke stap (en de meest essentiële stap) bij het beveiligen van een mobiele oplossing.
Een API-pentest is vergelijkbaar met een webapplicatie-pentest, met betrekking tot de gebruikte tools en de soorten fouten die kunnen worden gedetecteerd. Veelvoorkomende kwetsbaarheden van API’s zijn gerelateerd aan het volgende:
De Mobile Application Security Testing kan worden onderverdeeld in vier fasen:
Omdat er elke dag nieuwe kwetsbaarheden worden ontdekt, wordt het beveiligen van mobiele apps steeds moeilijker. Het begrip van gebruikers van de beveiliging van mobiele apps en apparaten is vrij laag. Als gevolg hiervan is gegevensbeveiliging in mobiele applicaties een must geworden. Penetratietests voor mobiele apps helpen in-app-beveiliging en verminderen de kans op fraude, virus- of malware-infecties, datalekken en andere beveiligingsinbreuken.
Penetratietests voor mobiele applicaties kunnen fouten en verkeerde configuraties detecteren en beoordelen die kunnen leiden tot beveiligingsproblemen zoals code-uitvoering, escalatie van bevoegdheden, gegevenslekken en informatieblootstelling.
Neem contact met ons op voor meer informatie over onze diensten.
Written by: SECLINQ Security Specialist
Tagged as: Ethisch hacken, internetten, mobiel.
Subscribe to the newsletter - Get the latest cyber-security news and offers
Copyright 2022 SECLINQ