Sicherheit Ihrer mobilen Anwendungen
Mobile-Security
Wir testen für Sie mobile Anwendungen, unabhängig davon ob es eine kleine, selbst entwickelte Anwendung für Ihre Mitarbeiter oder eine komplexe, von Dienstleistern entwickelte Mobile-Banking-App ist. Gerne evaluieren wir auch Backend-Server und deren (REST)-APIs, überprüfen, ob die aktuellen Sicherheitsstandards eingehalten wurden und analysieren, an welche Stellen Risiken für Sie oder Ihre Kunden entstehen können. Unsere Angebote beziehen sich auf Android-Anwendungen, Angebote für andere Betriebssysteme liefern wir individuell auf Anfrage.
Dauer einer Untersuchung hängt vom Umfang der gewünschten Analysepunkte und der Komplexität Ihrer Anwendung ab. Den genaueren Verlauf, Zeitrahmen und den Scope eines Projekts besprechen wir mit Ihnen zu Beginn des Projektes.
Bei Bedarf melden wir kritische Schwachstellen schon im Verlauf des Projektes. Abschließend fertigen wir Ihnen einen detaillierten Bericht in dem nicht nur die Befunde aufgelistet sind, sondern auch entsprechende Handlungsempfehlungen zur Mitigation der Schwachstellen.
App-Penetrationtest Light
- Überprüfung der Metadaten wie App-Permissions, exportierte Schnittstellen und SSL-Konfiguration
- Enumerierung des App-Typs (Nativ oder Cross-Plattform, als Hybrid- oder Web-App)
- Enumerierung des App-SDKs (Nativ, Xamarin oder Webtechnologien wie Cordova, React Native etc.)
- Überprüfung der mit der App ausgelieferten Assets, Dateien und Zugangsdaten, wie API-Schlüssel
- Statische Code-Analyse mit Reverse Engineering Tools oder mit dem zur Verfügung gestellten Quellcode
- Abgleich der eingesetzten Technologien mit bekannten Sicherheitslücken (CVE)
- Rudimentäre Überprüfung des ein- und ausgehenden Netzwerkverkehrs und der Transportverschlüsselung
- Rudimentäre Überprüfung des Server-Backends auf Injection-Angriffe, wie Cross Site Scripting (XSS), Cross Application Scripting (CAS) und SQL Injection (SQLi)
- Berichterstellung mit Darstellung aller gefundenen Schwachstellen
- Detaildarstellung der Befunde enthält eine Beschreibung der Schwachstelle selbst inklusive Referenzierung auf CVE und/oder CWE, wie diese ausgenutzt wurde sowie Handlungsempfehlungen zur Mitigierung
- Qualitätssicherung des Berichts
App-Penetrationtest Medium
- Inhalte des App-Penetrationstest Light
- Dynamische Analyse der Anwendung auf unserer Testumgebung
- Überprüfung der App-internen Kryptographie
- Tiefgreifende Überprüfung des ein- und ausgehenden Netzwerkverkehrs, wenn nötig auch unter Umgehung zusätzlicher Sicherheitsmaßnahmen, wie SSL-Pinning
- Enumerierung und rudimentäres Testen der API-Endpunkte, sofern vorhanden
App-Penetrationtest Deep
- Inhalte des App-Penetrationstest Medium
- Abdeckung des OWASP Mobile Top 10 in Anlehnung an den OWASP Mobile Security Testing Guide (MSTG) für statische Analyse
- Detaillierte Tests aller Eingabemöglichkeiten und aller gefundenen API-Endpunkte
- Enumeration von Kundendaten, falls nötig auch über Bruteforce-Angriffe
- Wenn möglich, das Erstellen einer Kill Chain zur kompletten Kompromittierung der Anwendung und/oder des Backends
- Proof-of-Concept-Erstellung und -Dokumentation zum einfacheren Nachvollziehen der Befunde
-
-
CIWATCH
IT-Monitoring
Das umfassendste KnowHow zur Überwachung Ihrer IT-Services
Mehr erfahren
-
-
CIDESK
OTOBO
Geschäftsprozesse und Kommunikation perfekt managen
Mehr erfahren
-
-
CISQUAD
Wir machen sauber
Cyber-Angriffe abwehren und
Sicherheit wieder herstellen
Mehr erfahren
-
-
CICHECK
Wir hacken Sie!
Stellen Sie Ihre Sicherheit
auf die Probe
Mehr erfahren