SiberdincSiberdinc Siber Güvenlik, Ağ Güvenliği, Cyber Security

2020 En İyi 10 Mobil Pentest Araçları ve Firmaları

Android ve iOS Mobil Uygulama Güvenlik Test Araçlarına Genel Bakış:

Mobil teknoloji ve akıllı telefon cihazları, bu yoğun dünyada sıklıkla kullanılan iki popüler terimdir. Dünya nüfusunun neredeyse% 90’ının elinde bir akıllı telefon var.

Amaç sadece arama değiş,  Kamera, Bluetooth, GPS, Wi-FI gibi çeşitli özellikler ve farklı mobil uygulamalar kullanarak çeşitli işlemler yapmaktadır.

Mobil cihazlar için geliştirilen yazılım uygulamasının işlevselliği, kullanılabilirliği, güvenliği, performansı vb. Açısından test edilmesi, Mobil Uygulama Pentest olarak bilinir.

Mobil Uygulama Penetrasyon Testi, kimlik doğrulama, yetkilendirme, veri güvenliği, bilgisayar korsanlığı için güvenlik açıkları, oturum yönetimi vb. içerir.

Mobil uygulama Penetrasyon testinin neden önemli olduğunu söylemek için çeşitli nedenler vardır. Bunlardan birkaçı – Mobil uygulamada saldırıları,  mobil uygulamaya virüs veya kötü amaçlı yazılım bulaşmasını önlemek, güvenlik ihlallerini önlemek vb.

Bu nedenle, iş açısından bakıldığında, penetrasyon testi yapmak zorunludur, ancak çoğu zaman test kullanıcıları, mobil uygulamalar birden fazla cihaza ve platforma hedeflendiğinden zorlanır. Bu nedenle test cihazı, mobil uygulamanın güvenli olmasını sağlayan bir mobil uygulama güvenlik test aracı gerektirir.

En İyi Mobil Pentest Araçları

Aşağıda, dünya çapında kullanılan en popüler Mobil Uygulama Güvenlik Test araçları listelenmiştir.

1) ImmuniWeb® MobileSuite
2) Zed Attack Proxy
3) Kiuwan
4) QARK
5) Micro Focus
6) Android Debug Bridge
7) CodifiedSecurity
8) Drozer
9) WhiteHat Security
10) Synopsys
11) Veracode
12) Mobile Security Framework (MobSF)

1) ImmuniWeb® MobileSuite

ImmuniWeb® MobileSuite, geliştiriciler ve KOBİ’ler için gizlilik sorunlarını tespit etmek, uygulama izinlerini doğrulamak ve OWASP Mobile Top 10 için bütünsel DAST / SAST testini çalıştırmak için ücretsiz bir çevrimiçi mobil tarayıcı sunar.

https://www.immuniweb.com/products/mobile/?utm_source=softwaretestinghelp&utm_medium=rating&utm_campaign=softwaretestinghelp_mobile_app_testing_tools

2) Zed Attack Proxy

Zed Attack Proxy (ZAP) basit ve kullanımı kolay bir şekilde tasarlanmıştır. Daha önce, güvenlik açıklarını bulmak için yalnızca web uygulamaları için kullanılıyordu, ancak şu anda tüm test uzmanları tarafından mobil uygulama güvenlik testleri için yaygın olarak kullanılmaktadır.

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

3) Kiuwan

Kiuwan, en geniş teknoloji kapsamı ile mobil uygulama güvenlik testine 360º bir yaklaşım sağlar.

Kiuwan güvenlik testi, SDLC’nin herhangi bir aşamasında otomasyonla birlikte statik kod analizi ve yazılım bileşimi analizini içerir. IDE düzeyinde entegrasyon ile mobil geliştirme için ana dillerin ve popüler çerçevelerin kapsamını sağlar.

https://www.softwaretestinghelp.com/Kiuwan-Mobile-APP-Security

4) QARK

LinkedIn, 2002 yılında kurulmuş bir sosyal ağ hizmeti şirketidir ve merkezi Kaliforniya, ABD’de bulunmaktadır. Toplam çalışan sayısı 10.000 civarında ve 2015 itibariyle 3 milyar dolarlık bir gelire sahip.

QARK, “Hızlı Android İnceleme Kiti” anlamına gelir ve LinkedIn tarafından geliştirilmiştir. QARK, statik bir kod analiz aracıdır ve android uygulamasıyla ilgili güvenlik riski hakkında bilgi sağlar ve sorunların net ve kısa bir şekilde açıklamasını sağlar.

https://www.linkedin.com/pulse/quick-android-review-kit-brisk-infosec-6083259584523292672

5) Micro Focus

Micro Focus ve HPE Software bir araya gelerek dünyanın en büyük yazılım şirketi oldular. Micro Focus’un merkezi Birleşik Krallık, Newbury’de olup, yaklaşık 6.000 çalışanı vardır. 2016 itibarıyla geliri 1,3 milyar dolardı. Micro Focus, öncelikli olarak Güvenlik ve Risk Yönetimi, DevOps, Hibrit BT vb. Alanlarda müşterilerine kurumsal çözümler sunmaya odaklandı.

Micro Focus, birden fazla cihaz, platform, ağ, sunucu, vb. Arasında uçtan uca mobil uygulama güvenlik testi sağlar. Fortify, bir mobil cihaza yüklenmeden önce mobil uygulamayı güvenli hale getiren Micro Focus’un bir aracıdır.

https://www.microfocus.com/en-us/solutions/mobile-app-security

6) Android Debug Bridge

Android, Google tarafından geliştirilen mobil cihazlar için bir işletim sistemidir. Google, 1998 yılında kurulmuş, ABD merkezli çok uluslu bir şirkettir. Merkezi Kaliforniya, Amerika Birleşik Devletleri’ndedir ve çalışan sayısı 72.000’den fazladır. Google’ın 2017 yılındaki geliri 25,8 milyar dolardı.

Android Hata Ayıklama Köprüsü (ADB), mobil uygulamaların güvenliğini değerlendirmek için gerçek bağlı android cihaz veya emülatör ile iletişim kuran bir komut satırı aracıdır.

https://developer.android.com/studio/command-line/adb.html

7) CodifiedSecurity

Codified Security, 2015 yılında Londra, Birleşik Krallık’taki genel merkezi ile başlatıldı. Codified Security, mobil uygulama güvenlik testlerini gerçekleştirmek için popüler bir test aracıdır. Güvenlik açıklarını belirler ve düzeltir ve mobil uygulamanın kullanımının güvenli olmasını sağlar.

Mobil uygulama güvenlik testi sonuçlarının ölçeklenebilir ve güvenilir olmasını sağlayan güvenlik testi için programlı bir yaklaşım izler.

https://codifiedsecurity.com/

8) Drozer

MWR InfoSecurity bir Siber Güvenlik danışmanlığıdır ve 2003 yılında kurulmuştur. Şu anda dünya genelinde ABD, İngiltere, Singapur ve Güney Afrika’da ofisleri bulunmaktadır. Siber güvenlik hizmetleri sunan en hızlı büyüyen şirkettir. Dünya geneline yayılmış tüm müşterilerine mobil güvenlik, güvenlik araştırması vb. Farklı alanlarda çözüm sunar.

https://labs.mwrinfosecurity.com/tools/drozer

9) WhiteHat Security

WhiteHat Security, 2001 yılında kurulmuş ve merkezi California, ABD’de bulunan Birleşik Devlet merkezli bir Yazılım Şirketidir. Yaklaşık 44 milyon dolarlık gelire sahip. İnternet dünyasında, “Beyaz Şapka” etik bir bilgisayar korsanı veya bilgisayar güvenliği uzmanı olarak anılır.

10) Synopsys

Synopsys Technology, 1986 yılında kurulan ve merkezi California, Amerika Birleşik Devletleri’nde bulunan ABD merkezli bir Yazılım Şirketidir. Halihazırda yaklaşık 11.000 çalışan sayısına ve 2016 mali yılı itibarıyla yaklaşık 2,6 milyar dolarlık gelire sahiptir. ABD, Avrupa, Orta Doğu, vb. Gibi farklı ülkelere yayılmış dünya çapında ofisleri vardır.

Ana Özellikler:

  • Mobil uygulama güvenlik testi için en kapsamlı çözümü elde etmek için birden çok aracı birleştirin.
  • Güvenlik hatasız yazılımı üretim ortamına sunmaya odaklanır.
  • Synopsys, kaliteyi artırmaya ve maliyetleri düşürmeye yardımcı olur.
  • Sunucu tarafı uygulamalardan ve API’lerden gelen güvenlik açıklarını ortadan kaldırır.
  • Gömülü yazılım kullanarak güvenlik açıklarını test eder.
  • Statik ve Dinamik analiz araçları, mobil uygulama güvenlik testi sırasında kullanılır.

https://www.synopsys.com/software-integrity/security-testing/mobile-application-security-testing.html

11) Veracode

Veracode, Massachusetts, Amerika Birleşik Devletleri merkezli bir Yazılım Şirketidir ve 2006 yılında kurulmuştur. Toplam çalışan sayısı yaklaşık 1.000 ve geliri 30 milyon ABD dolarıdır. CA Technologies, 2017 yılında Veracode’u satın aldı.

Ana Özellikler:

  • Kullanımı kolaydır ve doğru güvenlik testi sonuçları sağlar.
  • Uygulamaya göre güvenlik testleri yapılır. Finans ve sağlık uygulamaları derinlemesine test edilirken, basit web uygulaması basit bir tarama ile test edilir.
  • Kapsamlı testler, mobil uygulama kullanım durumlarının tam kapsamı kullanılarak gerçekleştirilir.
  • Veracode Statik Analizi, hızlı ve doğru bir kod inceleme sonucu sağlar.
  • Tek bir platform altında, statik, dinamik ve mobil uygulama davranış analizini içeren çoklu güvenlik analizi sağlar.

https://www.veracode.com/solutions/by-need/mobile-application-security-testing

12) Mobile Security Framework (MobSF)

Mobil Güvenlik Çerçevesi (MobSF), Android, iOS ve Windows platformları için otomatikleştirilmiş bir güvenlik testi çerçevesidir. Mobil uygulama güvenlik testleri için statik ve dinamik analiz gerçekleştirir.

Mobil uygulamaların çoğu, güvenlik açığı olabilecek web hizmetlerini kullanıyor. MobSF, web hizmetleriyle ilgili güvenlikle ilgili sorunları ele alır.

Ana Özellikler:

  • Mobil uygulama güvenlik testleri için açık kaynaklı bir araçtır.
  • Mobil uygulama test ortamı, MobSF kullanılarak kolayca kurulabilir.
  • MobSF yerel bir ortamda barındırıldığı için hassas veriler asla bulutla etkileşime girmez.
  • Her üç platformda da (Android, iOS, Windows) mobil uygulamalar için daha hızlı güvenlik analizi.
  • MobSF hem ikili hem de Zipli kaynak kodunu destekler.
  • API Fuzzer kullanarak Web API güvenlik testini destekler.
  • Geliştiriciler, geliştirme aşamasında güvenlik açıklarını belirleyebilir.

https://github.com/MobSF/Mobile-Security-Framework-MobSF

Açık kaynak olarak benimde tavsiye ettiğim MobSF kesinlikle kullanılması denenmesi gereken bir araç.

Bir sonraki yazıda görüşmek dileğiyle.

Kaynak : https://www.softwaretestinghelp.com/mobile-app-security-testing-tools/

Erdinç TANDOĞAN

Erdinç Tandoğan

Merhaba. Ben Erdinç Tandoğan. Siber Güvenlik Yüksek Lisans mezunuyum. Blog sitemde hem kendimi geliştirmek hemde Türkçe kaynakların çoğalması adına paylaşımlar yapmaktayım. Linkedin profilimden tarafıma ulaşabilirsiniz.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

@Siberdinc on Instagram
Bu hata mesajını yalnızca WordPress yöneticileri görebilir

Hata: 1 kimliğine sahip hiçbir akış bulunamadı.

Bir akış oluşturmak için lütfen Instagram Akışı ayarlar sayfasına gidin.

Kapatmak için ESC tuşuna basın