概览
移动应用安全测试评估 iOS 和 Android 应用在代码、数据存储、通信及平台集成方面的漏洞。它将对二进制文件的逆向工程和静态分析与在受控设备上的动态测试相结合,并以 OWASP MASVS 标准进行衡量。移动应用存储着用户和企业的敏感数据,是不安全存储、API 滥用、代码篡改和逆向工程等威胁的常见目标。安全测试能在攻击者利用这些弱点之前将其识别出来。
方法论与标准
OWASP MASVS(L1、L2、MASVS-R)、OWASP MASTG 以及 MAS Checklist,并依据 OWASP API Top 10 对后端进行测试。工具包括 MobSF、Frida、Objection、Burp Suite、Drozer、JADX 和 Ghidra。
包含内容
对 IPA/APK 的静态分析与逆向工程
在越狱或受控设备上的动态分析
客户端及设备端数据处理评估
对应用所依赖的后端和 API 进行测试
安全存储评估
身份验证与会话管理审查
API 安全验证
抗逆向工程能力测试
您将获得
映射到 MASVS 控制项的结果,并标明所达到的 MASVS 等级
附带证据和概念验证的客户端与服务器端问题
修复建议、复测及认证函
面向开发者的修复建议、面向管理层的报告,以及复测验证支持
对齐 OWASP高管报告整改指导包含复测鉴证函杜绝扫描器堆砌
常见问题
是的。由于代码、存储和平台 API 各不相同,我们会分别测试每个平台,并评估应用所通信的后端 API,随后按平台分别呈现结果及共性结果。
可以。我们通过对编译后的应用进行逆向工程来执行黑盒和灰盒测试。源代码和测试版本能提升测试的深度和速度,但并非必需。
L1 是所有应用的基线。L2 为处理敏感数据的应用增加了纵深防御,而 MASVS-R 增加了对逆向工程和篡改的抵御能力。我们会根据您的风险确定合适的等级。
移动应用通常处理用户和企业的敏感数据。安全测试有助于在不安全存储、API 漏洞和代码篡改等弱点被利用之前将其识别出来。