¿Cuáles son las herramientas disponibles para realizar pruebas de seguridad en aplicaciones de Android?

Tutorial de pruebas de software: pruebas de seguridad

6 de enero de 2017Sin categorizar

Antes de ir a un curso de prueba de software en Pune , puede revisar nuestros artículos relacionados con las pruebas. Esto lo ayudaría a conocer los conceptos básicos de las pruebas de software. Eso a su vez lo ayudará a comprender mejor los temas que se enseñan en las clases de evaluación de software en Pune.

En el artículo de hoy veremos el concepto llamado prueba de seguridad. Es un concepto importante y todos los evaluadores deben conocerlo.

¿Qué quieres decir con pruebas de seguridad?

Security Testing es una parte de Software Testing que garantiza que los diversos sistemas y aplicaciones de una empresa no tienen cabos sueltos que puedan provocar una penetración importante. La prueba de seguridad de cualquier sistema se trata de descubrir cada condición de laguna y las deficiencias del sistema que pueden dar lugar a la pérdida de datos debido a los empleados o extraños de la organización.

El objetivo principal de las pruebas de seguridad es extraer las amenazas en el sistema y medir sus posibles vulnerabilidades. Además, ayuda a reconocer todas las brechas de seguridad concebibles en el sistema y ayuda al equipo de desarrollo a resolver estos problemas a través de la codificación.

Puntos de verificación ilustrativos para pruebas de seguridad:

Aquí hay algunos escenarios ilustrativos para darle una idea bastante clara sobre los casos de prueba de seguridad.

• Verifique la sesión y el tiempo de cookies para la aplicación.
• Para sitios relacionados con finanzas, el botón de retroceso del navegador no debería funcionar.
• La contraseña debe estar encriptada.
• El sistema o la aplicación no deberían permitir usuarios no válidos.

Tipos de pruebas de seguridad:

Las pruebas de seguridad se dividen en siete tipos principales. Resultan ser los siguientes:

– Escaneo de vulnerabilidades

– Escaneo de seguridad

– Pruebas de penetración

– Evaluación de riesgos

– Auditoría de seguridad

– Evaluación de la postura y

– Hackeo ético

• Escaneo de vulnerabilidades: Esto se lleva a cabo a través de la automatización para filtrar un software contra las firmas de vulnerabilidad existentes.
• Análisis de seguridad: incluye la búsqueda de vulnerabilidades relacionadas con el sistema y la red, y luego brinda soluciones para disminuir estos riesgos. Esta comprobación se puede realizar tanto para pruebas manuales como automatizadas.
• Pruebas de penetración: este tipo de pruebas recrea un ataque de un hacker malévolo. Esta prueba incluye la investigación de un sistema específico para verificar posibles vulnerabilidades a un esfuerzo de piratería externa.
• Evaluación de riesgos: este tipo de pruebas incluye la investigación de los riesgos de seguridad observados en la organización. Los riesgos se asignan como Bajo, Medio y Alto según su prioridad. Esta prueba prescribe controles y medidas para disminuir el riesgo.
• Auditoría de seguridad: esta es una revisión interna de las aplicaciones y los sistemas operativos para detectar imperfecciones. La revisión o una auditoría también deberían ser posibles mediante un examen línea por línea del código.
• Hackeo ético: es hackear un sistema de software de organización. No como los piratas informáticos maliciosos, que penetran en un sistema para obtener sus propios beneficios, el plan es descubrir imperfecciones de seguridad en el sistema.
• Evaluación de la postura: esto consolida el escaneo de seguridad, la piratería ética y las evaluaciones de riesgos para demostrar una postura de seguridad general de una organización.

Metodologías de prueba de seguridad:

En las pruebas de seguridad, se practican diversas metodologías, y son las siguientes:

Tiger Box: este pirateo se realiza generalmente en una computadora portátil que tiene una acumulación de sistemas operativos y herramientas de pirateo. Esta prueba ayuda a los probadores de penetración y probadores de seguridad a realizar evaluaciones de vulnerabilidades y ataques.

Black Box: Tester está aprobado para realizar pruebas en todo lo relacionado con la topología de red y la innovación.

Cuadro gris: se proporcionan datos parciales al probador sobre el sistema, y ​​es una combinación de modelos de cuadro blanco y negro.

Para concluir :

La prueba de seguridad es la prueba más imprescindible para una aplicación y verifica si la información confidencial permanece privada. En este tipo de pruebas, el probador asume una parte del hacker y juega alrededor del sistema para descubrir lagunas relacionadas con la seguridad. Por lo tanto, las pruebas de seguridad son vitales en la industria de TI para garantizar la protección de datos de todas las formas posibles.

Un instituto de pruebas de software en Pune es el mejor lugar para obtener más información sobre las pruebas de seguridad.

Mensaje de navegación

Respondido por Neil K. Jones, IBM Market Segment Manager:

“Como puede imaginar, existen numerosas herramientas disponibles para realizar pruebas de seguridad en aplicaciones móviles de Android. Veo que muchos de ellos se mencionan en respuestas anteriores a esta pregunta. Con eso en mente, mi respuesta se centrará en una solución probada que ofrece la compañía para la que trabajo: IBM Application Security on Cloud. Mi respuesta también proporcionará detalles sobre cómo se completa el proceso de prueba de seguridad de la aplicación, ya que la tecnología avanza muy rápidamente en este espacio.

Como se demostró en este breve video de YouTube, IBM Application Security on Cloud le permite realizar pruebas de seguridad de aplicaciones de manera conveniente y eficiente en sus aplicaciones de Android, mediante las siguientes acciones:

• Subir su archivo APK de Android a un portal basado en la nube.
• Asignación de un nombre fácil de recordar para el escaneo de su aplicación.
• Al hacer clic en el botón “Escanear”.
• Recibir un correo electrónico proactivo cuando se hayan completado las pruebas.

Cuando finaliza el proceso de escaneo, puede revisar un informe completo que detalla todas las vulnerabilidades potenciales de su aplicación y sus niveles de gravedad. También recibirá recomendaciones detalladas sobre cómo corregir vulnerabilidades específicas en su código. Cuando haya corregido esas vulnerabilidades, puede cargar un archivo APK actualizado y realizar otra prueba para confirmar que se han solucionado las vulnerabilidades. Realmente es así de simple!

Puede probar las capacidades de seguridad de aplicaciones móviles de Android de IBM Application Security on Cloud por sí mismo, registrándose en nuestro plan de prueba gratuito. Como siempre, me complace responder cualquier pregunta de seguimiento que pueda tener … ¡Gracias!

Cualquier información que proporcione IBM no es asesoramiento legal.

1) Proyecto de proxy de ataque Zed de OWASP

Zed Attack Proxy Project (ZAP) está planeado como un dispositivo de prueba de seguridad estático básico y simple de utilizar. Inicialmente se compuso como un instrumento de prueba de entrada coordinado para aplicaciones web. Sea como fuere, ZAP ahora está siendo utilizado generalmente por los analizadores para evaluar la seguridad de una variedad de aplicaciones portátiles. A medida que el aparato permite a los analizadores delinear y enviar mensajes vengativos, es menos exigente para los clientes evaluar la seguridad de las aplicaciones versátiles atacando los activos del lado del servidor a través de mensajes nocivos. Mientras tanto, pueden, sin mucho esfuerzo, examinar la debilidad de las aplicaciones descubriendo las convenciones de correspondencia.

2) Software HP Enterprise

El software HP Enterprise faculta a los analizadores para realizar objetivos de seguridad con el fin de probar la utilización de dispositivos, etapas y sistemas distintivos. El instrumento en este momento refuerza algunas etapas versátiles principales, como iOS, Android, Windows Phone y Blackberry. Además, acompaña a los componentes para alentar las pruebas de seguridad de extremo a extremo de diferentes aplicaciones versátiles. Además, el software HP Enterprise se puede utilizar para investigar los activos estáticos de la aplicación portátil, planificar salidas dinámicas en situaciones intermedias generales, imitar un encuentro genuino con el cliente y distinguir las deformidades en las situaciones de la aplicación continuamente.

3) Aplicaciones tontas de teléfonos inteligentes

En la actualidad, Smart Phones Dumb Apps sustenta dos etapas portátiles notables, es decir, iOS y Android. También está conectado con la bóveda de código de Google. Las secuencias de comandos proporcionadas por el dispositivo hacen que sea menos exigente para los analizadores evaluar el código fuente de las aplicaciones iOS y Android. Para que puedan examinar el código fuente de las aplicaciones portátiles por completo, y distinguir los bits de código más débiles que hacen que las aplicaciones estén indefensas frente a diferentes ataques de seguridad. Las células avanzadas Dumb Apps también se pueden utilizar para ejecutar exámenes SCA de llaves en el código fuente de las aplicaciones de Android escritas en el dialecto de programación Java.

4) Explorador de archivos de iPad

El nombre del dispositivo demuestra que se puede utilizar para investigar la estructura de documentos de las aplicaciones de iPad. En cualquier caso, se puede utilizar para investigar la estructura de documentos de una amplia variedad de aplicaciones iOS. El dispositivo externo se planifica con elementos para examinar y mostrar información de la aplicación simplemente como marcos de documentos ordinarios. Los clientes pueden ver de antemano la información de la aplicación y los documentos multimedia en dos perspectivas únicas. En consecuencia, es menos exigente que los clientes vean e investiguen la estructura de registros de los dispositivos iOS con mayor claridad. Los analizadores también pueden utilizar el instrumento para investigar la disposición de documentos de almacenamiento de gadgets de dispositivos iOS con jailbreak.

5) Puente de depuración de Android (ADB)

Como su nombre lo demuestra, ADB está planeado como un aparato de línea de invocación para inspeccionar la seguridad de aplicaciones versátiles en varios dispositivos Android. Los analizadores pueden alentar el beneficio del aparato de prueba de seguridad como un aspecto importante del Kit de desarrollo de Android. ADB también puede utilizarse como un aparato servidor del cliente, y puede asociarse con diferentes dispositivos Android y casos de emulador. A medida que faculta a los analizadores para investigar la disposición de los registros de los dispositivos Android, es más simple para los analizadores distinguir las cláusulas de escape que hacen que la aplicación versátil sea impotente contra ataques malignos.

Gracias.

Keshav Infotech

Proteger las aplicaciones móviles de varios ataques no es una tarea simple. Los programas y aplicaciones modernos pasan pruebas exhaustivas de seguridad para definir el punto débil del sistema.

5 herramientas de prueba de seguridad de aplicaciones móviles de código abierto

1. Proyecto proxy de ataque Zed de OWASP. Es una de las herramientas de prueba gratuitas más populares. La detección de vulnerabilidades del sistema se puede realizar automáticamente.
2. MobiSec. El marco proporciona un entorno real para las pruebas móviles: infraestructura y dispositivos móviles. Admite la instalación de herramientas y plataformas adicionales para pruebas de penetración. El marco puede iniciarse en cualquier sistema basado en Intel.
3. Quixxi Hay una serie de plataformas de seguridad, gestión y comercialización disponibles para los desarrolladores de aplicaciones móviles hoy en día, pero la combinación única de integración, inteligencia y asequibilidad de Quixxi lo hace destacar entre la multitud para desarrolladores, desde independientes hasta empresas.
4. iMAS. Esta herramienta se utiliza para probar aplicaciones de seguridad de iOS . Proporciona los datos perdidos en las aplicaciones de iOS y descubre las debilidades del producto. Fue creado por la corporación MITRE.
5. QARK Es la abreviatura de Quick Android Review Kit. Es la herramienta de prueba de seguridad para aplicaciones basadas en Android. Asegura la detección de vulnerabilidades comunes en el código fuente y APK para Android.

En lugar de escribir todas las herramientas diferentes que conozco, prefiero adjuntar un enlace lleno de todas las herramientas disponibles para diferentes plataformas móviles:

Wiki de seguridad móvil

Herramientas que uso regularmente para la evaluación de seguridad de aplicaciones móviles:

Apktool / Class-dump / JDGUI

Androguard

Drozer

Marco Xposed y Cydia

Mallory (Requiere configuración de red adecuada)

IDA y Tolva

Para saber más sobre herramientas y técnicas avanzadas, lea mi artículo ” Reversión avanzada de Android” .

Hi Security es una aplicación antivirus y de protección de la privacidad eficiente

Un antivirus súper eficiente y protección de la privacidad para teléfonos Android.
Virus Cleaner para Android es una solución antivirus de descarga gratuita que ayuda a proteger sus teléfonos inteligentes, así como cualquier información personal almacenada en sus dispositivos, contra amenazas de privacidad peligrosas, preocupaciones de seguridad WiFi, virus, spyware, troyanos, etc.

https://play.google.com/store/ap …

Es posible que le resulten útiles las opiniones reales de los usuarios para todas las principales soluciones de pruebas de seguridad de aplicaciones en IT Central Station.

Según la comunidad de usuarios de la estación central de TI, HP Fortify on Demand actualmente ocupa el puesto número 1 en esta categoría. Puede leer las reseñas de los usuarios aquí: Revisión del producto para HP Fortify on Demand

Buena suerte con tu búsqueda.

muchas herramientas, en resumen, debe probar androbugs y mobsf framwork

Gracias,

uday datrak

Youtube: Uday Datrak

Linkedin: https://www.linkedin.com/in/uday …

Pruebe nuestra herramienta, Seguridad codificada, usamos Pruebas de seguridad de aplicaciones estáticas (SAST), Pruebas de seguridad de aplicaciones dinámicas y análisis manual para producir informes sin falsos positivos o falsos negativos.