Testy penetracyjne (inaczej pentesty lub testy bezpieczeństwa IT) to kontrolowany atak na zasoby informatyczne klienta - w tym przypadku aplikację mobilną. Podczas testów penetracyjnych masz okazję, aby w bezpieczny sposób przekonać się, jak Twoja aplikacja da sobie radę w starciu z hakerami i gdzie znajdują się konieczne do usunięcia luki w zabezpieczeniach.
Nadrzędnym celem testów penetracyjnych jest wykrycie podatności, a następnie sporządzenie planu uszczelniania systemu bezpieczeństwa, oraz jego dalszy rozwój w perspektywie krótko- i długoterminowej.
W ramach testowania bezpieczeństwa aplikacji używamy proxy jako pośrednika w komunikacji, weryfikujemy implementację mechanizmów kryptograficznych oraz biometrycznych, a także poziom bezpieczeństwa interfejsu API.
Korzystamy z różnych narzędzi, m.in.:
- DAST (Dynamic Application Security Testing) - programu służącego do znajdowania podatności w działających już aplikacjach
- FRIDA - zestawu narzędzi pozwalających na wykonywanie własnych skryptów w oprogramowaniu, w którym normalnie nie byłoby to możliwe
- dekompilatorów, takich jak dex2jar, jdgui, juestDecompile
Warto pamiętać, że testy penetracyjne aplikacji w naszym wykonaniu to nie tylko przetestowanie jej za pomocą programu, który wypluje raport - u nas pracują przede wszystkim ludzie, z gotowych rozwiązań korzystamy wyłącznie jako dodatku. Oznacza to, że Twoją aplikację zweryfikuje własnoręcznie doświadczony specjalista, dzięki czemu zyskasz szyty na miarę proces oraz obniżenie ryzyka przeoczenia niestandardowych błędów, których możliwości wystąpienia nie uwzględnił autor danego narzędzia.