Περίληψη : | Η Δοκιμή Διείσδυσης είναι μια διαδικασία που χρησιμοποιείται από επαγγελματίες κυβερνοασφάλειας η οποία προσομοιώνει μια επίθεση όπως θα ήταν από την οπτική γωνία ενός κακόβουλου παράγοντα. Ο σκοπός αυτής της διαδικασίας είναι να εντοπίσει τις αδυναμίες ασφαλείας και να τις διορθώσει πριν τις βρουν κακόβουλοι παράγοντες και τις εκμεταλλευτούν. Οι στόχοι της διαδικασίας μπορεί να είναι απλές εφαρμογές ή ακόμα και ολόκληρες υποδομές. Οι εφαρμογές για φορητές συσκευές δεν διαφέρουν από άλλα προγράμματα υπολογιστών στο κομμάτι της εισαγωγής τρωτών σημείων, η εκμετάλλευση των οποίων μπορεί να οδηγήσει σε σημαντικό αντίκτυπο. Στόχος αυτής της εργασίας είναι να παρουσιάσει τις μεθόδους και τις τεχνικές που ακολουθούνται κατά τον έλεγχο εφαρμογών για κινητά για θέματα ασφάλειας, με βάση τις απαιτήσεις για ασφαλείς εφαρμογές που έχουν οριστεί από το OWASP (Open Web Application Project) Foundation ως βιομηχανικό πρότυπο. Πιο συγκεκριμένα, η δομή αποτελείται από μια σύντομη εισαγωγή στους τύπους εφαρμογών για κινητά, τη μεθοδολογία δοκιμής διείσδυσης, το μοντέλο ασφάλειας εφαρμογών για κινητά, τους κινδύνους και τους τομείς εστίασης. Ακολουθεί μια λεπτομερής αναφορά των τρόπων δοκιμής αυτών των τομέων εστίασης σύμφωνα με το OWASP, στα πλαίσια μη συγκεκριμένης πλατφόρμας, καθώς και σε συγκεκριμένης πλατφόρμας που περιλαμβάνει Android και iOS, όντας οι πιο δημοφιλείς πλατφόρμες για κινητά. Τέλος, ορισμένες περιπτώσεις των ζητημάτων ασφαλείας που μπορεί να προκύψουν επιδεικνύονται χρησιμοποιώντας ευάλωτες εφαρμογές στην πλατφόρμα Android ως στόχους. Ζητήματα ασφάλειας προκύπτουν, παρόλο που οι πλατφόρμες για κινητές συσκευές είναι πιο ασφαλείς, ειδικά όταν οι εφαρμογές δεν έχουν σχεδιαστεί σωστά. Για αυτόν το λόγο και λαμβάνοντας υπόψιν την ευρεία υιοθέτηση και χρήση τους, η ασφάλεια εφαρμογών για κινητά είναι επιτακτική. Penetration Testing is a process used by cyber security professionals, which simulates an attack as it would be from the perspective of a malicious actor. The purpose of this process is to identify security weaknesses and patch them before malicious actors find them and exploit them. Targets of the process can be simple apps or even whole infrastructures. Mobile applications are no different from other computer programs in the part of introducing vulnerabilities, the exploitation of which can lead to significant impact. The aim of this project is to present the methods and techniques followed when testing mobile applications for security issues, based on the requirements for secure applications that have been set by OWASP (Open Web Application Project) Foundation as an industry standard. More specifically, the structure consists of a brief introduction to mobile application types, penetration testing methodology, mobile application security model, risks, and areas of focus. They are followed by a thorough report of the testing methods and techniques for these areas of focus according to OWASP, in a non-platform specific context, as well as in a platform specific one that includes Android and iOS, as they are the most popular mobile platforms. Finally, some cases of the security issues that can arise are demonstrated using vulnerable applications in the Android platform as targets. Security issues arise even though mobile platforms are more secure, especially when applications are poorly designed. For that reason and considering their wide adoption and usage, mobile application security is imperative.
|
---|