İçeriğe geç

Kapsamlı mobil uygulama güvenlik testi.

Uygulamanızın tüm saldırı yüzeyinde (kod, çalışma zamanı, depolama ve API'ler) otomatik ve uzman yürütümlü manuel test; OWASP MASVS standardına göre, böylece zafiyetler yılda bir değil her sürümde yakalanır.

  • OWASP MASVS & MASTG
  • Otomatik + Manuel
  • Her sürüm

Tanınmış mobil güvenlik standartlarına göre test edilir

Neyi test ediyoruz

Mobil uygulamanızın her katmanı test edilir.

Platformlar ve mimariler genelinde tüm mobil saldırı yüzeyini, OWASP Mobil Uygulama Güvenliği Doğrulama Standardı (MASVS) ve Test Kılavuzu'na (MASTG) göre değerlendiriyoruz.

Platformlar

  • iOS (Swift, Objective-C)
  • Android (Kotlin, Java)
  • Flutter
  • React Native
  • Unity
  • Kotlin Multiplatform

Uygulama yüzeyleri

  • Native applications
  • Hybrid & WebView apps
  • Backend & REST/GraphQL APIs
  • Embedded SDKs
  • Local storage & IPC
  • Third-party integrations

Standartlar ve çerçeveler

  • OWASP MASVS
  • OWASP MASTG
  • MASVS-L1 & MASVS-L2
  • PCI-DSS mapping
  • NIST & CIS references
  • Custom threat models
Test neden önemli

Saldırganlar sizden daha hızlı hareket ediyor Tepki vermenizi beklemiyorlar.

Tarayıcıların göremediği bir yüzey

Deep link'ler, yerel depolama, IPC ve gömülü gizli anahtarlar otomatik tarayıcıların ulaştığı seviyenin çok altında kalır. Manuel test, onların atladığı gerçek veri ve mantık akışlarını izler.

Yayından istismara saatler

Uygulamanız yayınlandığı an herkes ikiliyi (binary) indirebilir. Saldırganlar bir sürümü haftalar değil, saatler içinde reverse engineer eder, yeniden paketler ve silah hâline getirir.

Savunmayı geçen araçlar

Frida, Objection ve özel RASP bypass teknikleri sürekli gelişir. Biz imza tabanlı tarayıcılarla değil, gerçek saldırganların kullandığı çalışma zamanı araçlarıyla test ederiz.

Uyumluluk güvenlik değildir

MASVS, PCI-DSS veya HIPAA kontrol listesini geçmek kapsamı kanıtlar, direnci değil. Biz her kontrolün gerçek bir saldırı altında gerçekten ayakta kalıp kalmadığını doğrularız.

Yaklaşımımız

Üç katmanlı test metodolojisi

Sadece araçların bulamayacağı zafiyetleri ortaya çıkarmak için otomatik taramayı uzman manuel testlerle birleştiriyoruz.

  1. SAST

    Static Analysis

    Uygulama çalıştırılmadan kaynak kod ve binary incelemesi

    • Decompilation ve code review
    • Hardcoded secret tespiti
    • Güvensiz API kullanımı
    • Kriptografik zayıflıklar
  2. DAST

    Dynamic Analysis

    Uygulama çalışırken yapılan runtime testler

    • Traffic interception (MITM)
    • Runtime manipulation
    • Bellek analizi
    • API fuzzing
  3. PENTEST

    Manual Testing

    Gerçek saldırganları simüle eden uzman odaklı test

    • İş mantığı zafiyetleri
    • Authentication bypass
    • Zincirlenmiş exploit'ler
    • Platforma özel saldırılar

Uçtan uca kapsama için üç yaklaşımı birlikte kullanıyoruz: kapsamlı görünürlük

SSS

Sık Sorulan Sorular

Mobil uygulama güvenlik testi hizmetimiz hakkında bilmeniz gerekenler

Hangi mobil uygulama türlerini test ediyorsunuz?

Native iOS (Swift, Objective-C), native Android (Kotlin, Java) ve cross-platform uygulamaları (React Native, Flutter, Unity) test ediyoruz; mobil istemciyi, yerel depolamayı ve bağlandığı backend API'lerini kapsarız.

Bunun penetrasyon testinden farkı nedir?

Güvenlik testi geniş ve süreklidir: uygulamanızın tamamında OWASP MASVS'ye göre otomatik ve uzman manuel kontroller, ideal olarak her sürümde. Penetrasyon testi ise uzmanların belirli yüksek riskli hedefleri saldırgan gibi istismar ettiği, daha derin ve belirli bir ana özgü bir çalışmadır. Çoğu ekip sürekli güvenlik testi yürütür ve uyumluluk ya da yüksek riskli sürümler için periyodik bir pentest ekler.

Güvenlik testini ne sıklıkla yapmalıyız?

İdeal olarak her sürümde ve CI/CD hattınız üzerinden sürekli; böylece kod değiştikçe ortaya çıkan gerilemeler yakalanır. Tek seferlik bir temel (baseline) çalışma olarak ya da her derlemeye bağlı sürekli bir program olarak yürütebiliriz.

Neler teslim ediyorsunuz?

OWASP MASVS ile eşlenmiş, her biri önem derecesi, kanıt ve önceliklendirilmiş iyileştirme rehberliği içeren net bir bulgular raporu ve bir değerlendirme görüşmesi. Sürekli bir programda sürümler arası eğilim takibi de sağlanır.

Sorunları düzelttikten sonra retest yapıyor musunuz?

Evet. Düzeltmelerin etkili olduğunu ve iyileştirme sürecinde yeni sorun oluşmadığını doğrularız. Sürekli bir programda her sürüm, hattın bir parçası olarak yeniden test edilir.

App'inizi korumaya hazır mısınız?

Uzman ekibimizden kapsamlı bir güvenlik değerlendirmesi alın.

  • Ücretsiz ön değerlendirme
  • 2-4 hafta içinde sonuç
  • Enterprise SLA seçeneği