OWASP Mobile App Security (MAS)
J'ai écrit sur OWASP Mobile Top 10 Vulnerabilities et OWASP MSGT UnCrackable Level 1 il y a un an lorsque j'ai étudié comment sécuriser les appareils mobiles pour un cours de sécurité. Cette année, j'étudie à nouveau ces questions et je voulais écrire sur le projet OWASP Mobile App Security (MAS), qui a récemment été renommé. Actuellement, le projet OWASP MAS comprend la norme de vérification MAS (MASVS), le guide de test MAS (MASTG), les listes de contrôle MAS et les crackmes MAS. C'est donc un projet avec beaucoup de ressources intéressantes pour sécuriser les applications mobiles.
D’une part, le guide de test de sécurité mobile OWASP (MASTG) est un manuel complet pour tester la sécurité des applications mobiles. Décrit les processus et les techniques de vérification des exigences répertoriées dans la norme de vérification de la sécurité des applications mobiles (MASVS) et fournit une base de référence pour des tests de sécurité complets et cohérents. D'autre part, le MASVS est un projet communautaire visant à établir un cadre d'exigences de sécurité pour la conception, le développement et le test de la sécurité des applications mobiles iOS et Android.
Le guide de test général de MASTG contient une méthodologie de test de sécurité des applications mobiles et des techniques générales d'analyse des vulnérabilités telles qu'elles s'appliquent à la sécurité des applications mobiles. Il contient également des cas de test techniques supplémentaires indépendants du système d'exploitation, tels que l'authentification et la gestion de session, les communications réseau et la cryptographie. Par exemple, il y a des tests sur le processus d'authentification et le processus de cryptage.
Le guide de test Android de MASTG couvre les tests de sécurité mobile pour la plate-forme Android, y compris les bases de la sécurité, les cas de test de sécurité, les techniques d'ingénierie inverse et la prévention, ainsi que les techniques et la prévention de la falsification. Par exemple, il y a des tests sur les API de stockage d'Android pour vérifier si les meilleures pratiques ont été utilisées. Il y a également des tests de vérification de certificat SSL fiables pour voir si l'application mobile accepte les certificats SSL non valides ou malveillants.
Le guide de test iOS de MASTG couvre les tests de sécurité mobile pour la plate-forme iOS, y compris un aperçu du système d'exploitation iOS, les tests de sécurité, les techniques d'ingénierie inverse et la prévention, ainsi que les techniques et la prévention de la falsification. Par exemple, il y des tests sur l'architecture de sécurité iOS, la structure des applications, la communication inter-processus et la publication des applications.
Le MASVS peut être utilisé pour établir un niveau de confiance dans la sécurité des applications mobiles. Cette norme définit deux niveaux de vérification de sécurité (MASVS-L1 et MASVS-L2), ainsi qu'un ensemble d'exigences de résistance à la rétro-ingénierie (MASVS-R). Le niveau MASVS-L1 contient des exigences de sécurité génériques recommandées pour toutes les applications mobiles, tandis que MASVS-L2 doit être appliqué aux applications qui traitent des données hautement sensibles.
Comment testez-vous les applications mobiles ?
D’une part, le guide de test de sécurité mobile OWASP (MASTG) est un manuel complet pour tester la sécurité des applications mobiles. Décrit les processus et les techniques de vérification des exigences répertoriées dans la norme de vérification de la sécurité des applications mobiles (MASVS) et fournit une base de référence pour des tests de sécurité complets et cohérents. D'autre part, le MASVS est un projet communautaire visant à établir un cadre d'exigences de sécurité pour la conception, le développement et le test de la sécurité des applications mobiles iOS et Android.
Le guide de test général de MASTG contient une méthodologie de test de sécurité des applications mobiles et des techniques générales d'analyse des vulnérabilités telles qu'elles s'appliquent à la sécurité des applications mobiles. Il contient également des cas de test techniques supplémentaires indépendants du système d'exploitation, tels que l'authentification et la gestion de session, les communications réseau et la cryptographie. Par exemple, il y a des tests sur le processus d'authentification et le processus de cryptage.
Le guide de test Android de MASTG couvre les tests de sécurité mobile pour la plate-forme Android, y compris les bases de la sécurité, les cas de test de sécurité, les techniques d'ingénierie inverse et la prévention, ainsi que les techniques et la prévention de la falsification. Par exemple, il y a des tests sur les API de stockage d'Android pour vérifier si les meilleures pratiques ont été utilisées. Il y a également des tests de vérification de certificat SSL fiables pour voir si l'application mobile accepte les certificats SSL non valides ou malveillants.
Le guide de test iOS de MASTG couvre les tests de sécurité mobile pour la plate-forme iOS, y compris un aperçu du système d'exploitation iOS, les tests de sécurité, les techniques d'ingénierie inverse et la prévention, ainsi que les techniques et la prévention de la falsification. Par exemple, il y des tests sur l'architecture de sécurité iOS, la structure des applications, la communication inter-processus et la publication des applications.
Le MASVS peut être utilisé pour établir un niveau de confiance dans la sécurité des applications mobiles. Cette norme définit deux niveaux de vérification de sécurité (MASVS-L1 et MASVS-L2), ainsi qu'un ensemble d'exigences de résistance à la rétro-ingénierie (MASVS-R). Le niveau MASVS-L1 contient des exigences de sécurité génériques recommandées pour toutes les applications mobiles, tandis que MASVS-L2 doit être appliqué aux applications qui traitent des données hautement sensibles.
Comment testez-vous les applications mobiles ?
Commentaires
Enregistrer un commentaire