Tarayıcıların göremediği bir yüzey
Deep link'ler, yerel depolama, IPC ve gömülü gizli anahtarlar otomatik tarayıcıların ulaştığı seviyenin çok altında kalır. Manuel test, onların atladığı gerçek veri ve mantık akışlarını izler.
Uygulamanızın tüm saldırı yüzeyinde (kod, çalışma zamanı, depolama ve API'ler) otomatik ve uzman yürütümlü manuel test; OWASP MASVS standardına göre, böylece zafiyetler yılda bir değil her sürümde yakalanır.
Tanınmış mobil güvenlik standartlarına göre test edilir
Platformlar ve mimariler genelinde tüm mobil saldırı yüzeyini, OWASP Mobil Uygulama Güvenliği Doğrulama Standardı (MASVS) ve Test Kılavuzu'na (MASTG) göre değerlendiriyoruz.
Deep link'ler, yerel depolama, IPC ve gömülü gizli anahtarlar otomatik tarayıcıların ulaştığı seviyenin çok altında kalır. Manuel test, onların atladığı gerçek veri ve mantık akışlarını izler.
Uygulamanız yayınlandığı an herkes ikiliyi (binary) indirebilir. Saldırganlar bir sürümü haftalar değil, saatler içinde reverse engineer eder, yeniden paketler ve silah hâline getirir.
Frida, Objection ve özel RASP bypass teknikleri sürekli gelişir. Biz imza tabanlı tarayıcılarla değil, gerçek saldırganların kullandığı çalışma zamanı araçlarıyla test ederiz.
MASVS, PCI-DSS veya HIPAA kontrol listesini geçmek kapsamı kanıtlar, direnci değil. Biz her kontrolün gerçek bir saldırı altında gerçekten ayakta kalıp kalmadığını doğrularız.
Sadece araçların bulamayacağı zafiyetleri ortaya çıkarmak için otomatik taramayı uzman manuel testlerle birleştiriyoruz.
Uygulama çalıştırılmadan kaynak kod ve binary incelemesi
Uygulama çalışırken yapılan runtime testler
Gerçek saldırganları simüle eden uzman odaklı test
Uçtan uca kapsama için üç yaklaşımı birlikte kullanıyoruz: kapsamlı görünürlük
SSS
Mobil uygulama güvenlik testi hizmetimiz hakkında bilmeniz gerekenler
Native iOS (Swift, Objective-C), native Android (Kotlin, Java) ve cross-platform uygulamaları (React Native, Flutter, Unity) test ediyoruz; mobil istemciyi, yerel depolamayı ve bağlandığı backend API'lerini kapsarız.
Güvenlik testi geniş ve süreklidir: uygulamanızın tamamında OWASP MASVS'ye göre otomatik ve uzman manuel kontroller, ideal olarak her sürümde. Penetrasyon testi ise uzmanların belirli yüksek riskli hedefleri saldırgan gibi istismar ettiği, daha derin ve belirli bir ana özgü bir çalışmadır. Çoğu ekip sürekli güvenlik testi yürütür ve uyumluluk ya da yüksek riskli sürümler için periyodik bir pentest ekler.
İdeal olarak her sürümde ve CI/CD hattınız üzerinden sürekli; böylece kod değiştikçe ortaya çıkan gerilemeler yakalanır. Tek seferlik bir temel (baseline) çalışma olarak ya da her derlemeye bağlı sürekli bir program olarak yürütebiliriz.
OWASP MASVS ile eşlenmiş, her biri önem derecesi, kanıt ve önceliklendirilmiş iyileştirme rehberliği içeren net bir bulgular raporu ve bir değerlendirme görüşmesi. Sürekli bir programda sürümler arası eğilim takibi de sağlanır.
Evet. Düzeltmelerin etkili olduğunu ve iyileştirme sürecinde yeni sorun oluşmadığını doğrularız. Sürekli bir programda her sürüm, hattın bir parçası olarak yeniden test edilir.
Uzman ekibimizden kapsamlı bir güvenlik değerlendirmesi alın.