Тест на проникновение мобильных приложений (Mobile Application Penetration Testing)
Пентест мобильных приложений — это процесс оценки безопасности мобильных приложений, выполняемый специалистами, которые моделируют атаки на приложение с целью выявления уязвимостей.
Заказать услуги по пентесту мобильных приложений и анализу уязвимостейПроведение теста на проникновение для мобильных приложений
Этапы оказания услуги пентеста мобильных приложений (Mobile Application Penetration Testing) обычно включают следующие шаги:
- Сбор информации — на этом этапе пентестер собирает как можно больше информации об архитектуре мобильного приложения, его функциональности, используемых технологиях и данных, а также о технической инфраструктуре, которая поддерживает приложение;
- Анализ уязвимостей — пентестер проводит сканирование приложения и анализирует полученные результаты для выявления уязвимостей, таких как SQL-инъекции, уязвимости XSS, CSRF и другие;
- Эксплуатация уязвимостей — на этом этапе пентестер пытается эксплуатировать найденные уязвимости, чтобы определить, насколько серьезны они могут быть и какие последствия могут возникнуть при их использовании злоумышленниками;
- Оценка рисков — после того, как все уязвимости были выявлены и проверены, пентестер проводит оценку рисков, связанных с каждой из них. Это может помочь заказчику определить, какие уязвимости являются наиболее критическими и требуют немедленного решения;
- Подготовка отчета — после завершения тестирования пентестер подготавливает отчет, который включает описание найденных уязвимостей, пояснения к каждой из них и рекомендации по их устранению. В отчете также может быть указано, какие меры предпринимать для повышения безопасности приложения в будущем.
Что необходимо предоставить заказчику для пентеста мобильного (iOS и Android)?
Для проведения пентеста мобильного приложения необходимо предоставить:
• Доступ к мобильному приложению и его исходному коду (если он доступен);
• Информацию об архитектуре мобильного приложения, используемых технологиях и данных;
• Доступ к серверной инфраструктуре, связанной с мобильным приложением (если необходимо).
Содержание отчета о тестировании на проникновение мобильных приложений
Отчет предоставляется в конце и обычно состоит из следующих частей:
- Введение — краткое описание цели тестирования и использованных методик;
- Общая информация о мобильном приложении — описание функциональности приложения, используемых технологий и данных;
- Найденные уязвимости — список всех найденных уязвимостей, включая описание, классификацию, рекомендации по исправлению и оценку их критичности;
- Оценка общего уровня безопасности мобильного приложения — общая оценка уровня безопасности мобильного приложения на основе найденных уязвимостей;
- Рекомендации по улучшению безопасности — рекомендации по устранению найденных уязвимостей и повышению уровня безопасности мобильного приложения в целом;
- Заключение — краткое заключение по результатам тестирования и общее представление о состоянии безопасности.
Как понять, что необходимо провести пентест?
Необходимость проведения работ по анализу уязвимостей и тестированию на проникновение определены в ГОСТ 57580.1–2017. Это значит, что организации, которым нужно обеспечивать соответствие указанному стандарту в рамках Положений Банка России 683-П, 719-П, 747-П, 757-П, а также Приказа Минкомсвязи №930, необходимо на ежегодной основе проводить пентест тех или иных объектов инфраструктуры.
Что нужно предоставить и как подготовиться к прохождению пентеста?
В самом общем случае нужно сделать так, чтобы эксперты смогли подключиться к тестируемой инфраструктуре. Поэтому в случае внешнего тестирования необходимо предоставить перечень ресурсов, в случае внутреннего – возможность доступа к внутренней сети Заказчика.
При подготовке к тестированию нужно оповестить свою службу ИТ о проводимых работах и проверить наличие резервных копий критичных сервисов. Дополнительно в ходе тестирования возможно указать эксперту на желаемые временные рамки, в которые можно проводить тестирование – например, в будние дни с 9:00 до 18:00.
Сколько по времени занимает тестирование?
Это зависит от типа пентеста и может широко варьироваться. Если тестирование внешнего периметра занимает от двух недель, то работы по направлениям социальной инженерии либо тестирования внутренней сети могут длиться до двух месяцев и более.
Компетентные специалисты
Опыт, закрепленный большим количеством проведенных пентестов и подготовка наших специалистов — дают гарантию в корректности отчетов.
Конкурентные цены
Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.
Объективная оценка
Как независимая компания, мы дадим объективную оценку информационной безопасности предприятия.
Стоимость по пентесту мобильных приложений и анализу уязвимостей
| Услуга | Стоимость |
|---|---|
Консультация |
бесплатно |
ПентестТестирование на проникновение по требованиям положений Банка России 683-П, 719-П, 757-П |
от 135000 руб. |
Пентест приложенияАнализ уязвимостей программного обеспечения |
от 250 000 руб. |
Пентест сайтаАнализ защищенности сайта |
от 150 000 руб. |
Социальная инженерияВарианты: email, телефон, очно |
от 200 000 руб. |
Пентест мобильных приложенийАнализ уязвимостей мобильных приложений |
от 250 000 руб. |
Свяжитесь с нами
Напишите нам! Расскажите о Вашей задаче и наш специалист свяжется с Вами.
Услуги для Вас
Оценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3
Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3
ПодробнееОценка соответствия по 683-П
Оценка соответствия требованиям Положения Банка России №683-П
ПодробнееГОСТ Р 57580
Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580
ПодробнееОценка соответствия по 757-П (684-П)
Оценка уровня информационной безопасности предприятия и организации (НФО) по 757-П (684-П)
ПодробнееОценка соответствия по 382-П
Положение Банка России № 382-П: требования, аудит и оценка соответствия
ПодробнееОценка соответствия по 672-П (747-П)
Оценка соответствия требованиям Положения Банка России №672-П (747-П)
Подробнее