OWASP (Open Web Application Security Project) nie często daje o sobie znać. Jednak jak już dają, to potężnie! OWASP zrzucił ponownie bombę tym razem na świat mobilnego testowania. Po świetnie przygotowanych „OWASP Mobile Top 10”, „Mobile App Security Requirements and Verification” i „Mobile App Security Checklist” (o których napiszę w oddzielnych wpisach) przyszedł czas na „Mobile Security Testing Guide”. Prześwietlają w nim twardy orzech, którym jest testowanie bezpieczeństwa aplikacji mobilnych.
"OWASP Mobile Security Testing Guide" jest rozszerzeniem "OWASP Testing Project" z ukierunkowaniem na urządzenia z systemami Android i iOS. Celem dokumentu jest rozszerzona pomoc w zrozumieniu "co, dlaczego, kiedy, gdzie i jak” powinniśmy testować w kontekście aplikacji mobilnych. Projekt dostarcza zestaw testów zaprojektowany by zaadresować przypadki opisane w pozostałych mobilnych dokumentach od OWASP: „OWASP Mobile Top 10”, „Mobile App Security Checklist” i „Mobile Application Security Verification”.
Pozycja jednak zdecydowanie nie jest dla każdego!
Wymaga conajmniej podstawowej wiedzy i doświadczenia z zakresu inżynierii oprogramowania z perspektywy developera lub testera bezpieczeństwa aplikacji.
Dobrym sprawdzianem będzie według mnie przestudiowanie rozdziału „Android testing guide - platform overview”.
Jeżeli ten rozdział będzie dla Ciebie zbyt ciężki, polecałbym zapoznać się z innymi publikacjami wprowadzającymi w podstawy testów bezpieczeństwa i inżynierii oprogramowania.
W dalszych częściach w bardzo przyjemny sposób mamy przedstawione tak podstawowe jak i rozszerzone techniki testowania bezpieczeństwa aplikacji mobilnych. Dobre praktyki, mnóstwo źródeł i przykładów przydatnych narzędzi. Zarówno z perspektywy platformy Android jak i iOS. OWASP MSTG będzie posiadał według mnie duży wpływ na testowanie bezpieczeństwa aplikacji mobilnych, zarówno w kontekście dokumentacji jak i przeprowadzanych szkoleń.
Lektura jest według mnie obowiązkową dla każdego developera pracującego z aplikacjami mobilnymi i każdego inżyniera testów mobilnych, którzy aspirują do bycia starszym specjalistą w mobilkach.
Oddzielnym tematem jest kwestia „seniorstwa” w testowaniu aplikacji mobilnych. Słyszałem wiele razy, że aby zostać seniorem w testowaniu mobilnym wystarczy odpowiednio dobrze poznać platformę na której się pracuje. Jestem w stanie się z tym zgodzić. Pod warunkiem, że rozgraniczymy w tym momencie testera od inżyniera testów.
Spis treści:
-
- Introduction
- Frontispiece
- Overview
- Introduction to the Mobile Security Testing Guide
- Mobile App Taxonomy
- Mobile App Security Testing
- Tampering and Reverse Engineering
- Android Testing Guide
- Platform Overview
- Android Security Testing Basics
- Testing Data Storage on Android
- Testing Cryptography in Android Apps
- Testing Authentication and Session Management in Android Apps
- Testing Local Authentication in Android Apps
- Testing Platform Interaction on Android
- Testing Code Quality and Build Settings of Android Apps
- Tampering and Reverse Engineering on Android
- Testing Anti-Reversing Defenses on Android
- iOS Testing Guide
- Platform Overview
- iOS Security Testing Basics
- Testing Data Storage on iOS
- Appendix
- Remote Authentication and Authorization
- Testing Network Communication
- Cryptography for Mobile Apps
- Testing Tools
Książkę można pobrać oczywiście za darmo z Leanpub:
Aktualnie wersja beta zajmuje (zaledwie) 400 stron po wyeksportowaniu jej z gitbooks w formacie PDF. Pamiętajmy, że do dopiero wersja beta. Publikacja ostatecznej finalnej wersji jest planowana na czwarty kwartał 2017 roku.
Wszystkie projkety mobilne OWASP:
https://www.owasp.org/index.php/OWASP_Mobile_Security_Testing_Guide
https://www.owasp.org/index.php/OWASP_Mobile_Security_Testing_Guide