Mobiele applicatie pentesten
Mobiele applicatie pentesten
Een mobiele applicatie pentest is een onderdeel van functionele beveiligingstesten binnen een SDLC (Software Development Life Cycle). Het doel van een mobiele applicatie pentest is om verschillende testcases uit te voeren op de API van een systeem. Een API wordt door een mobiele applicatie gebruikt om informatie uit andere applicaties of systemen te halen. Vaak wordt een mobiele applicatie pentest samen met een API pentest uitgevoerd, omdat mobiele applicaties deze interfaces vaak gebruiken om informatie op te halen of te ontvangen.
Scopevoorbeelden
Tijdens een mobiele applicatie pentest kan de mobiele applicatie (voor zowel iOS als Android) getest worden vanuit verschillende perspectieven: Black Box, Grey Box en White Box. Vaak wordt een mobiele applicatie pentest samen met een API pentest uitgevoerd, omdat mobiele applicaties deze interfaces vaak gebruiken voor het ophalen of ontvangen van informatie. Voorbeelden van deze informatie zijn gebruikerssessies, tekst, video-en fotomateriaal en andere multimedia.
Wilt u inzicht krijgen in de beveiliging van de beveiliging van uw mobiele applicatie? Neem dan contact met ons op.
Welke aanvalscenario´s zijn mogelijk voor mobiele applicatie pentesten?
Het meest voorkomende aanvalsscenario voor een mobiele applicatie pentest is een combinatie van een Black en Grey Box. Hieronder wordt voor beide aanvalscenario’s een illustratief voorbeeld gegeven. Tijdens een intake zullen uw wensen in kaart worden gebracht om zo een geschikt scenario te kiezen.
Black Box van de mobiele applicatie
Met minimale informatie zal een beeld gevormd worden van kwetsbaarheden in de mobiele applicatie. Vaak is er ook integratie met een API. Door middel van open bronnenonderzoek (OSINT) zal zoveel mogelijk informatie verzameld worden, om op die manier mogelijke kwetsbaarheden te ontdekken.
Grey Box van de mobiele applicatie
Het testen van de mobiele applicatie vanuit een geautoriseerd perspectief is minstens zo belangrijk als vanuit een niet geautoriseerd omgeving. Met dit scenario wordt nagebootst wat een kwaadwillende hacker zou kunnen doen wanneer deze toegang verkrijgt tot een telefoon waarop de mobiele applicatie geïnstalleerd staat. Vragen die hiermee beantwoord kunnen worden zijn bijvoorbeeld: welke kwetsbaarheden zijn aanwezig en is het mogelijk om meer informatie op te vragen dan bedoeld of gevoelige informatie uit de app (zoals authenticatie-tokens en persoonsgegevens) te stelen?
White Box van de mobiele applicatie
Het testen van de mobiele applicatie wordt uitgevoerd vanuit een perspectief waarbij ook de broncode door de opdrachtgever aangeleverd is. Deze methode helpt om een mobiele applicatie nog efficiënter in kaar te kunnen brengen.
NFIR en de internationale Standaarden
NFIR gebruikt de OWASP Mobile Application Security Testing Guide (MASTG) voor het testen van mobiele applicaties. Deze standaard geeft u de garantie dat de pentest volgens de juiste maatstaven en compleet wordt uitgevoerd.
Wij vinden het belangrijk om zo transparant mogelijk te zijn over de uitvoering van de pentest. Om die reden bieden wij bij diverse pentest standaarden een checklist die wordt toegevoegd aan de rapportage. Hierdoor ziet u welke controles zijn uitgevoerd, welke niet uitgevoerd konden worden en welke eventueel niet van toepassing waren.
Van pentest naar heldere rapportage!
Stap 1: intake
Tijdens de intake bespreken we de scope onderdelen en aanvalsscenario’s van de pentest. Tijdens de intake is ook een ethisch hacker van NFIR aanwezig.
De intake is een belangrijk vertrekpunt omdat wij graag binnen de scope van de pentest alle onderdelen willen testen en alle kwetsbaarheden willen identificeren. Op basis van de intake maken wij een ureninschatting en voorstel.
Stap 2: Voorstel en afspraken
Nadat u de ureninschatting en voorstel heeft ontvangen bespreken wij graag uw vragen.
In overleg zoeken wij naar een geschikt moment om de pentest uit te voeren.
Stap 3. uitvoering
Tijdens de pentest houden wij u op de hoogte over de voortgang en kwetsbaarheden.
Kritieke kwetsbaarheden worden direct gemeld, zodat deze zo snel mogelijk opgelost kunnen worden.
Stap 4: Resultaten
De kwetsbaarheden worden gedocumenteerd in een heldere en volledige pentestrapportage. Een standaard onderdeel van onze pentest dienstverlening is het toelichten van de bevindingen naar aanleiding van de opgeleverde pentest rapportage.
Deze toelichting wordt enorm gewaardeerd door onze opdrachtgevers.
Stap 5: Perfectioneren
Dankzij de heldere inzichten gaat u de kwetsbaarheden mitigeren.
Indien gewenst kunnen wij nadat de kwetsbaarheden zijn gemitigeerd een hertest laten plaatsvinden. Op basis van deze hertest ontvangt u een nieuw pentestrapport en heeft u de bevestiging dat de kwetsbaarheden daadwerkelijk zijn opgelost
Laat ons uw risico's in kaart brengen!
Kom erachter hoe veilig u écht bent en neem vandaag nog contact op.
Wat maakt NFIR uniek?
Gecertificeerde pentesters
Het team bestaat uit gecertificeerde en ervaren Technical Leads en pentesters. Gespecialiseerd in diverse omgevingen.
Professionele aanpak
Betrokken Technical Leads en Project Coördinatoren zorgen voor een kwalitatief hoogwaardige pentest volgens het CCV-kwaliteitskeurmerk.
Uitgebreide ervaring
Een pentest laten uitvoeren door een team dat jaarlijks honderden pentesten uitvoert met een gemiddeld klanttevredenheidscijfer 8,4
Helder en transparant
De pentest rapportage is helder, compleet en bruikbaar. Wij verzorgen altijd een toelichting en zijn ook na het project voor u beschikbaar.
Voorbeeldrapportage Mobiele Applicatie Pentesten
In deze rapportage is een pentest uitgevoerd op een fictieve omgeving, waarbij kwetsbaarheden inzichtelijk zijn gemaakt
Pentesten
Laat uw gegevens achter zodat een professional u zo spoedig mogelijk terug kan bellen.
"*" geeft vereiste velden aan
Welke systemen kan u door de experts van NFIR laten testen?
Onze ethisch hackers controleren onder andere de technische weerbaarheid van (web) applicaties, websites, IT en OT-infrastructuren, API- koppelingen en mobiele apps. Heeft u een andere omgeving die u graag wilt laten controleren dan gaan wij graag met u in gesprek.
NFIR maakt gebruik van betrouwbare pentestdiensten, gecertificeerd met het CCV-keurmerk Pentesten. Wij zijn uw Cybersecurity partner als u opzoek bent naar een nuchter Nederlands Cybersecurity bedrijf dat jarenlange ervaring heeft met pentesting. Onze gecertificeerde ethische hackers identificeren kwetsbaarheden en bieden concrete en bruikbare inzichten over de effectiviteit van uw beveiligingsmaatregelen. Neem vandaag nog contact op om ook uw cybersecurity onder de loep te nemen.
Pentesten van hoge kwaliteit
Gecertificeerde en kwaliteitsgerichte pentesters
Pentesten zijn essentieel om de technische weerbaarheid en de effectieve werking van de beveiliging te toetsen. Onze pentesters richten zich op het identificeren van kwetsbaarheden in systemen door het inzetten van verschillende aanvalstechnieken. Onze vakkundige en professionele pentesters hebben ruime ervaring, creativiteit en actuele vakkennis. De pentesters hebben diverse relevante opleidingen gevolgd en zijn in het bezit van o.a. de volgende certificeringen OSCP, OSWP, OSWE, OSEP, CPTS, CBBH, en eWPT.
Pentesten en het CCV keurmerk:
- Dit keurmerk, gebaseerd op de NEN-EN-ISO/IEC-normen 17021 en 17065, geeft klanten de garantie dat de uitvoering van een pentest opdracht door NFIR op een professionele en kwalitatief hoogwaardige wijze wordt uitgevoerd.
- NFIR bezit sinds 07-01-2022 het CCV-kwaliteitskeurmerk voor Pentesting.
Ik wil mijn omgeving(en) pentesten!
Zodra u dit formulier invult nemen wij direct contact met u op om u te informeren over de mogelijkheden. Wij plannen een vrijblijvende intake in met een Technical Lead om de scope onderdelen en aanvalsscenario’s af te stemmen.
Heeft u tussentijds vragen? Neemt u dan telefonisch contact met ons op op het algemene NFIR telefoonnummer: 088 313 0205
"*" geeft vereiste velden aan