back

Аудит безпеки мобільних додатків

Метою проекту було оцінити рівень безпеки мобільного додатку iOS/Android клієнта відповідно до найкращих стандартів і рекомендацій безпеки. За основу було взято стандарт OWASP для перевірки безпеки мобільних додатків (MASVS), а також стандарт OWASP з мобільного тестування (OWASP Mobile Testing Guide). Першою частиною аудиту було опитування розробників для виявлення проблем у частині SDLC та в коді додатку. Друга частина аудита включала аналіз вихідного коду, відтворення знайдених вразливостей (за допомогою стандарту динамічного інструментарію Frida, відлагоджувачів jwt/gdb для Android, відлагоджувача lldb для iOS).

HIRE US
back

В результаті, замовник отримав деталізований звіт з контрольним списком вимог MASVS і результатами їх перевірки (OK, Found, N/A) та докладними рекомендаціями щодо того, як їх виправити, щоб вони стали сумісними з MASVS. Деякі з ідентифікованих вразливостей включали:

  • Використання небезпечних компонентів веб-представлення, що дозволило Universal XSS
  • Записи в системні логи конфіденційних даних (включаючи API-ключі та облікові дані)
  • Відсутність шифрування збережених даних
  • Крадіжка трансляції в додатку Android, що дозволило перехопити конфіденційні дані
  • Небезпечний обробник URL-адрес в iOS, який допустив збій додатка.

Рекомендовані приклади проектів

Реагування на інцидент
OWASP ASVS cертифікація
This website uses cookies to give you the best experience. Terms & Conditions