De aanpak van een mobile applicatie beveiligingstest bestaat uit een aantal fases:
- Besturingsysteem configuratie
- Beveiligingstest
- Rapportage
- Heronderzoek
Besturingsysteem configuratie
Als eerst wordt de configuratie van de applicatie met betrekking tot het besturingsysteem onderzocht. Hierbij worden onder andere de rechten van de applicatie onderzocht, mogelijk gebruikte versleutelingsmethoden en verbindingsinstellingen.
Beveiligingstest
Daarna wordt de mobiele applicatie zelf onderzocht op mogelijke kwetsbaarheden. Deze fase bestaat onder andere uit de volgende tests: Identiteits-management, Authenticatie, Authorisatie, Sessie management, Invoervalidatie, Foutmelding afhandeling, gebruikte versleuteling, applicatie logica en client side aanvallen. Hiermee worden alle mogelijke kwetsbaarheden afgedekt.
Rapportage
Gevonden beveiligingsrisico’s worden gedocumenteerd en verder uitgewerkt in een rapportage. Deze bestaat onder andere uit een managementsamenvatting, beoordeling van het algehele beveiligingsniveau en de gevonden kwetsbaarheden. De gevonden kwetsbaarheden bevatten naast een beschrijving en aanbeveling een CVSS score, gebruikte tooling voor reproduceerbaarheid en bewijsvoering. Verder bevat de rapportage een checklist zodat duidelijk is welke testen zijn uitgevoerd. Indien wenselijk kan het rapport door middel van een presentatie worden toegelicht.
Heronderzoek
Wanneer beveiligingsrisico’s zijn aangetroffen tijdens een beveiligingsonderzoek kan een heronderzoek de genomen mitigerende maatregelen testen. Hierbij wordt het initiele onderzoek uitgebreid met de nieuwste bevindingen. Daarna wordt er een herbeoordeling gedaan van het algehele beveiligingsniveau aan de hand van de resultaten.
Interesse?
Klik hier om contact op te nemen!