ΕΛ/ΛΑΚ | creativecommons.gr | mycontent.ellak.gr |
freedom

3 εργαλεία ανοιχτού κώδικα για δοκιμές ασφαλείας σε εφαρμογές για κινητά

Ένα μεγάλο ποσοστό χρηστών, χρησιμοποιεί smartphones και tablets για την πρόσβαση τόσο σε προσωπικά όσο και σε επιχειρηματικά δεδομένα του . Επομένως, οι χρήστες συχνά αναζητούν εφαρμογές για κινητά που διατηρούν απομονωμένες και ασφαλείς τις προσωπικές και ευαίσθητες πληροφορίες τους. Είναι επίσης ζωτικής σημασίας για μια επιχείρηση να εκτελέσει μια ολοκληρωμένη δοκιμή ασφαλείας για να διασφαλίσει ότι η εφαρμογή δεν είναι ευάλωτη σε επιθέσεις. Σήμερα, καθώς οι περισσότερες εφαρμογές για κινητά έχουν ως στόχο πολλαπλές συσκευές και πλατφόρμες, οι testers συχνά βρίσκουν εξαιρετικά επώδυνη και τρομακτική, την διαδικασία να πραγματοποιούν δοκιμές ασφαλείας για όλες τις πλατφόρμες. Έτσι, για αυτό το λόγο, οι testers χρειάζονται εξειδικευμένα εργαλεία ανοιχτού κώδικα για να ελέγξουν εάν μια εφαρμογή για κινητά είναι 100 τοις εκατό ασφαλής ή όχι.

Ορισμένα από τα εργαλεία ανοιχτού κώδικα για δοκιμές ασφαλείας σε εφαρμογές για κινητά είναι τα εξής:

OWASP Zed Attack Proxy Project

Αναπτύχθηκε από το ΟWASP και διατίθεται για πλατφόρμες Unix / Linux, Macintosh και Windows. Αρχικά, το εργαλείο σχεδιάστηκε ως ένα ολοκληρωμένο εργαλείο δοκιμής διείσδυσης για εφαρμογές ιστού.

Το OWASP Zed Attack Proxy Project χρησιμοποιείται σήμερα από τους testers για την πρόσβαση στην ασφάλεια μιας μεγάλης ποικιλίας εφαρμογών για κινητά. Καθώς το εργαλείο επιτρέπει στους δοκιμαστές εφαρμογών να σχεδιάζουν και να στέλνουν κακόβουλα μηνύματα, γίνεται ευκολότερο για τους προγραμματιστές να παραβιάζουν την ασφάλεια των εφαρμογών για κινητά επιτίθενται στους πόρους του διακομιστή μέσω κακόβουλων μηνυμάτων. Ταυτόχρονα, μπορούν εύκολα να εκτιμήσουν την ευπάθεια των εφαρμογών με την εφαρμογή των πρωτοκόλλων επικοινωνίας.

Υπάρχουν λειτουργίες όπως οι παραδοσιακές και AJAX spider, to web socket supportκαι η ενσωμάτωση API με βάση το REST, για να βοηθηθούν τους προγραμματιστές να δοκιμάσουν εύκολα την ασφάλεια των εφαρμογών για κινητά. Το έργο OWASP είναι ένα από τα ενεργά έργα ανοιχτού κώδικα και παρακολουθείται και ενημερώνεται συνεχώς από μια ομάδα διεθνών εθελοντών. Οι testers μπορούν να δοκιμάζουν, να δημιουργούν και να στέλνουν τα αποτελέσματα των απειλών ασφάλειας – παρέχοντας δεδομένα σε πραγματικό χρόνο σχετικά με την αποτελεσματικότητα του OWASP.

Android Debug Bridge

Το Android Debug Bridge έχει σχεδιαστεί για να αξιολογεί την ασφάλεια των εφαρμογών για κινητά σε πολλές συσκευές Android μέσω της γραμμής εντολών. Αυτό το πρόγραμμα μπορεί να χρησιμοποιηθεί ως client-server και εκτός από την εγκατάσταση και την αποσφαλμάτωση των προγραμμάτων, μπορεί να συνδεθεί και με εξομοιωτές,. Δεδομένου ότι το εργαλείο επιτρέπει στους χρήστες να εξερευνήσουν συστήματα αρχείων Android, γίνεται ευκολότερο για τους testers να εντοπίζουν τα τρωτά σημεία ασφαλείας.

Smart Phone Dumb Apps

Σήμερα, το Smart Phone Dumb Apps (SPDA) υποστηρίζει τόσο τις πλατφόρμες Android όσο και iOS.  Τα σενάρια που παρέχονται από αυτό το εργαλείο διευκολύνουν τους testers να αξιολογήσουν την ασφάλεια του κώδικα των εφαρμογών iOS και Android.

Προσφέροντας δέσμες ενεργειών ελέγχου πηγαίου κώδικα, το SPDA επιτρέπει επίσης στους testers να εντοπίζουν τα πιο αδύναμα κομμάτια κώδικα και να κάνουν τις κινητές εφαρμογές λιγότερο ευάλωτες σε διάφορες επιθέσεις ασφάλειας. Τους επιτρέπει ακόμα να εκτελούν static code analyzer  (SCA) στον πηγαίο κώδικα των εφαρμογών Android που είναι γραμμένες σε γλώσσα προγραμματισμού Java.

 

Πηγή άρθρου: http://opensourceforu.com

Leave a Comment