静的、動的、ソースコードペネトレーションテスト

 範囲の定義

ウェブアプリケーションの評価を行う前に、エルフコアはクライアントの範囲を明確に定義します。この段階で、エルフコアとクライアント組織の間でオープンなコミュニケーションを図り、快適な評価基盤を確立します。

• 組織のどのアプリケーションまたはドメインをスキャン/テストするかを決定する
• 評価の対象から除外することを周知する（特定のページ/サブドメイン）
• 正式なテスト期間を決定し、時間帯を確認する

アプリ内の脆弱性の探索

モバイルアプリがビジネスや公共サービスの中心となる時代において、強固なセキュリティを確保することは非常に重要です。金融取引から医療のやり取りまで、リスクは高く、脆弱性は常に存在しています。

モバイルAPPペネトレーションテストにおける期待事項

OSおよびAndroidプラットフォームにおける包括的なサポート 私たちはiOSとAndroidのペネトレーションテストにおいて深い専門知識を有しており、各モバイルアーキテクチャに固有のセキュリティ上の課題を深く理解しています。この専門性により、iOSアプリのリバースエンジニアリングやAndroidアプリケーションを狙うマルウェアの脅威に対処するなど、特定の懸念事項に対処するためのアセスメントをカスタマイズすることができます。

私たちが行うすべてのモバイルセキュリティ評価には、複数の攻撃ベクトルとリスクのシミュレーションが含まれています。これには、安全でないストレージの評価、盗まれたデバイスのリスク評価、モバイルマルウェアの脅威の精査、認証されたユーザーおよび認証されていないアプリユーザーのセキュリティテストが含まれます。もしアプリが社内のモバイルデバイスでホストされている場合、企業環境を再現するカスタマイズされたシナリオでカバーします。

静的、動的、ソースコードペネトレーションテスト

静的分析と動的分析の両方を統合し、セキュリティ専門家はアプリの休止状態と実行時の両方でテストを行い、あらゆる脆弱性を特定します。この徹底的な方法論は、クレデンシャルの安全でないストレージ、Androidバックアップを含む機密アプリデータなど、主要な脆弱性にも焦点を当てています。私たちのiOS/Android専門家はアプリ自体を逆コンパイルまたはリバースエンジニアリングすることができますが、アプリケーションの完全なソースコードレビューを通じてさらに多くの脆弱性を特定することができます。ペネトレーションテスト中にアプリのソースコードをレビューすることで、深く埋もれた脆弱性も特定し、軽減することができます。

モバイルセキュリティと報告の専門知識

標準およびジェイルブレイクされたデバイスのテスト 私たちのモバイルセキュリティ評価は、ジェイルブレイクされたiOSおよびルート化されたAndroidデバイスを含む、複数の攻撃ベクトルと脅威を考慮しています。両オプションの脆弱性を比較することで、献身的な攻撃者から一般ユーザーまで、複数のユーザータイプからのセキュリティリスクを示すことができます。

要約レポートと技術詳細レポート

ドキュメンテーションと報告は、モバイルアプリのペネトレーションテストの成功の鍵です。私たちは、経営陣とアプリ開発者の両方のニーズに応えるために、エグゼクティブサマリーと技術的詳細の両方を組み込んでいます。具体的には、この詳細なペネトレーションテストの報告は以下のように分類されます。

要約リスクおよびアプリの強み/弱み/リスク優先の脆弱性と説明/脆弱なコードセクション（ソースコードレビューが統合されている場合）/攻撃ウォークスルー（スクリーンショットを含む）/修復および防御の推奨事項