Mobil Uygulama Sızma Testi

iOS ve Android uygulamalarınızı OWASP MASTG doğrultusunda statik ve dinamik analizle test ederek istemci tarafı ve sunucu iletişimi kaynaklı açıkları ortaya çıkarıyoruz.

OWASP MASTGOWASP Mobile Top 10PTESNIST SP 800-115

Mobil uygulamalar, kullanıcı verisinin cihaz üzerinde saklandığı ve sürekli sunucuyla iletişim kurduğu için kendine özgü bir saldırı yüzeyine sahiptir. Web testlerinden farklı olarak, burada hem cihazdaki uygulamanın kendisi hem de arka plandaki API’ler birlikte değerlendirilmelidir.

SAVKOR’un mobil uygulama sızma testi, OWASP Mobile Application Security Testing Guide (MASTG) ve Mobile Top 10 doğrultusunda, statik ve dinamik analizi birlikte kullanır. Cihazda saklanan hassas verilerden sertifika doğrulama zafiyetlerine, tersine mühendislik risklerinden API güvenliğine kadar uygulamanızın bütününü saldırgan gözüyle inceler.

Test Kapsamı

  • Yerel veri saklama ve hassas veri sızıntısı
  • Sunucu iletişimi ve sertifika doğrulama (SSL pinning)
  • Kimlik doğrulama ve oturum yönetimi
  • İstemci tarafı enjeksiyon ve iş mantığı
  • Tersine mühendislik ve kod koruma kontrolleri
  • Platform izinleri ve API kullanımının güvenliği

Metodoloji

  1. 01

    Statik Analiz

    Uygulama paketi (APK/IPA) tersine çevrilerek kod, sabit anahtarlar, izinler ve yapılandırma güvenliği incelenir.

  2. 02

    Dinamik Analiz

    Uygulama çalışırken trafiği, bellek davranışı ve çalışma zamanı manipülasyonu (hooking) gözlemlenir.

  3. 03

    İletişim Güvenliği

    Uygulama–sunucu trafiği araya girilerek şifreleme, sertifika doğrulama ve API güvenliği test edilir.

  4. 04

    Doğrulama & Etki

    Bulgular manuel doğrulanır; her açığın iş etkisi ve risk seviyesi önceliklendirilir.

  5. 05

    Raporlama

    Kanıtlarla desteklenmiş bulgular ve çözüm önerileri teknik ve yönetici ekiplere sunulur.

Teslimatlar

  • Yönetici özeti ve genel risk görünümü
  • iOS ve Android için ayrı teknik bulgu detayları ve kanıtlar
  • OWASP MASTG / Mobile Top 10 eşleştirmesi ve CVSS puanı
  • Önceliklendirilmiş çözüm önerileri
  • Düzeltme sonrası yeniden test (retest) ve kapanış dokümanı

Sık Sorulan Sorular

Hem iOS hem Android aynı anda test ediliyor mu?

Evet, kapsamınızda her iki platform varsa ikisi de test edilir. Platformlar arası farklılıklar (veri saklama, izin modeli) ayrı ayrı değerlendirilir.

Uygulamanın kaynak kodunu vermem gerekir mi?

Zorunlu değildir. Kaynak kodu olmadan (black-box) test yapılabilir; ancak kaynak kod paylaşılırsa (white-box) daha derin ve hızlı bir analiz mümkün olur.

Yayındaki (store) sürüm mü test edilir?

Tercihen test derlemesi kullanılır. Gerekirse yayındaki sürüm de test edilebilir; kapsam görüşmesinde birlikte belirlenir.

Güvenlik açıklarınızı saldırganlardan önce keşfedin.

Ücretsiz ön değerlendirme