- PVSM.RU - https://www.pvsm.ru -
Проверьте, есть ли в системе безопасности вашего мобильного приложения слабые места, и исправьте их, пока они не навредили вашей репутации.
Согласно последним исследованиям NowSecure более чем в 25% мобильных приложений [1] есть хотя бы одна критически опасная уязвимость.
В 59% финансовых приложений [2] для Android есть три уязвимости из списка OWASP Топ-10.
Чем больше используют мобильные телефоны, тем больше появляется мобильных приложений. В магазине приложений Apple App Store доступно более 2 миллионов приложений, а в Google Play Store — более 2,2 миллионов.
Существует множество видов уязвимости, к наиболее критичным из них относятся:
Если вы владелец или разработчик приложения, вы должны сделать все для обеспечения безопасности вашего мобильного приложения. Существует много инструментов для поиска уязвимости сайтов [3], а информация ниже поможет вам найти слабые стороны системы безопасности мобильного приложения.
В статье используются следующие сокращения:
Инструменты для поиска уязвимости приложений Android или iOS:
Ostorlab [11] позволят проверить приложение на Android или iOS и получить подробный отчет о результатах проверки. Загрузите файл вашего приложения в формате APK или IPA и спустя несколько минут отчет о безопасности будет готов.
Максимальный размер файла для загрузки на проверку 60 Mb. Тем не менее, если размер вашего приложения превышает 60Mb, то можно связаться со специалистами Ostorlab, чтобы разместить файл через запрос API.
В основе лежат такие программы с открытым исходным кодом как Androguard и Radare2. Советую бесплатно проверить ваше мобильное приложение при помощи Ostorlab.
Найдите все пробелы в системе безопасности вашего мобильного приложения с помощью Appvigil [12] и получите подробный отчет об уязвимости за считанные минуты.
С Appvigil вы получите не только описание возможных угроз, но и рекомендации по устранению уязвимости для быстрого решения проблемы. Никакие программы устанавливать не надо, поскольку все обрабатывается в облаке Appvigil.
После того, как вы загрузите файлы APK или IPA производится статический и динамический анализ приложения (Android/iOS), в том числе и на наличие уязвимости из списка OWASP Топ-10 [13].
Quixxi [14] предназначен для получения мобильной аналитики, защиты мобильных приложений и восстановления потенциальных доходов. Если вам нужно просто проверить приложение на наличие уязвимости, то загрузите файл приложения Android или iOS сюда [15].
Для проверки потребуется несколько минут. После завершения проверки у вас будет краткий отчет об уязвимости. Если же вам нужен полный отчет, то нужно зарегистрироваться на сайте. Это бесплатно.
Как можно догадаться по названию, AndroTotal [16] пригоден только для работы с приложениями на Android. AndroTotal проверяет файл APK на наличие вирусов и вредоносного кода, сверяя результаты следующих антивирусных программ:
Если вам нужно быстро проверить APK-файлы на наличие вирусов, то AndroTotal является хорошим решением.
Akana [18] — это интерактивный инструмент для анализа приложений для Android. Akana проверяет приложение на наличие вредоносного кода и отображает сведения о результатах.
Проверка бесплатная, так что попробуйте и посмотрите, нет ли в вашем Android приложении вредоносного кода.
Nviso [19] APKSCAN — это еще один удобный сетевой инструмент для проверки приложения на наличие вредоносного кода. Результаты могут быть готовы не сразу, это зависит от вашего места в очереди. Можете оставить свою электронную почту и получить уведомление, когда отчет [20] будет готов.
Я проверил макет своего приложения с помощью Nviso и увидел, что проверяется следующее:
SandDroid [21] проводит статический и динамический анализ и формирует полный отчет. Можно загрузить файл APK или zip-файл размером не более 50 Mb.
SandDroid разработан исследовательской группой Botnet и Сианьского транспортного университета. Проверяется следующее:
Запросите отчет [22] и оцените безопасность вашего приложения.
Надеюсь, инструменты для проверки уязвимости помогут вам проверить безопасность мобильного приложения и устранить найденные проблемы.
Если у вас свой сайт, то возможно вас заинтересует возможность автоматической проверки сайта на наличие уязвимостей.
Надеюсь, что Вам также будет интересна возможность поиска виртуальных серверов [23] и виртуального хостинга [24] на Хостинг Кафе [25].
Автор: HOSTING.cafe
Источник [26]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/bezopasnost/236765
Ссылки в тексте:
[1] в 25% мобильных приложений: https://www.nowsecure.com/blog/2016/02/11/2016-nowsecure-mobile-security-report-now-available/
[2] В 59% финансовых приложений: https://www.arxan.com/2016/01/12/arxans-5th-annual-state-of-application-security-report-reveals-disparity-between-mobile-app-security-perception-and-reality/
[3] инструментов для поиска уязвимости сайтов: https://geekflare.com/online-scan-website-security-vulnerabilities/
[4] Ostorlab: https://habrahabr.ru/company/hosting-cafe/blog/319762/#1
[5] Appvigil: https://habrahabr.ru/company/hosting-cafe/blog/319762/#2
[6] Quixxi: https://habrahabr.ru/company/hosting-cafe/blog/319762/#3
[7] AndroTotal: https://habrahabr.ru/company/hosting-cafe/blog/319762/#4
[8] Akana: https://habrahabr.ru/company/hosting-cafe/blog/319762/#5
[9] NVISO: https://habrahabr.ru/company/hosting-cafe/blog/319762/#6
[10] SandDroid: https://habrahabr.ru/company/hosting-cafe/blog/319762/#7
[11] Ostorlab: https://www.ostorlab.co/scan/ssl/
[12] Appvigil: https://appvigil.co/en/mrps/app-vulnerability-scanner/
[13] OWASP Топ-10: https://www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Project_-_Top_Ten_Mobile_Risks
[14] Quixxi: https://quixxi.com/products/
[15] файл приложения Android или iOS сюда: https://vulnerabilitytest.quixxi.com/#/
[16] AndroTotal: http://andrototal.org/scan/
[17] McAfee: http://www.mcafeestore.com/
[18] Akana: http://www.mobiseclab.org/akana/Intro.html
[19] Nviso: https://apkscan.nviso.be/
[20] отчет: https://apkscan.nviso.be/report/overview
[21] SandDroid: http://sanddroid.xjtu.edu.cn/
[22] отчет: http://sanddroid.xjtu.edu.cn/#overview
[23] виртуальных серверов: https://vds.menu/
[24] виртуального хостинга: https://shared.menu/
[25] Хостинг Кафе: https://hosting.cafe/
[26] Источник: https://habrahabr.ru/post/319762/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best
Нажмите здесь для печати.