Тестирование защищенности мобильных приложений

Тестирование защищенности означает верификацию безопасности системы и анализ рисков, связанных с целостным подходом к защите приложения, хакерским атакам, вирусам, несанкционированным доступом к конфиденциальной информации и т.д.

Главной целью тестирования безопасности является гарантия безопасности сети и информации.

Ключевые направления проверки защищенности мобильного приложения:

  • убедиться, что данные пользователей приложения (логины, пароли, номера кредитных карт) защищены от атак автоматических систем и не могут быть обнаружены путем отбора;
  • проверить, не предоставляет ли приложение доступ к секретному контенту или функционалу без должной аутентификации;
  • убедиться, что система безопасности приложения требует надежный пароль и не позволяет хакеру использовать пароли других пользователей;
  • проверить, является ли время проведения сессии приложения соответствующим;
  • найти динамические зависимости и принять меры для защиты этих уязвимостей от хакеров;
  • защитить приложение от атак SQL-инъекций;
  • найти случаи неуправляемого кода и устранить последствия;
  • убедиться, что срок действия сертификата не истек, если приложение использует Certificate Pinning;
  • защитить приложение и сеть от DoS-атак;
  • проанализировать требования по хранению и проверке данных;
  • обеспечить управление сессий для защиты информации от несанкционированных пользователей;
  • изучить все криптографические коды и исправить ошибки, если необходимо;
  • убедиться, что бизнес-логика приложения защищена и не подвержена воздействию внешних атак;
  • проанализировать взаимодействие системных файлов, выявить и исправить уязвимости;
  • проверить блоки управления протоколами (к примеру, не подвергается ли страница сбросу по умолчанию с помощью вредоносных iFrames);
  • защитить приложение от вредоносных атак;
  • обезопасить систему от вредоносных вторжений во время работы программы;
  • предотвратить небезопасное хранение данных в памяти устройства;
  • исключить возможные вредные действия куки;
  • обеспечить регулярный контроль безопасности информации;
  • изучить пользовательские файлы и предотвратить их возможное вредоносное влияние;
  • освободить систему от случаев переполнения буфера или от нарушения целостности памяти;
  • провести анализ разных потоков данных и обезопасить системы от потенциального вредоносного влияния.