آشنا ایمن
  • خانه
  • خدمات
    • مشاوره و استقرار استانداردهای امنیت و فناوری اطلاعات

      • سیستم مدیریت امنیت اطلاعات (ISMS)
      • تحلیل شکاف استانداردهای امنیت اطلاعات (GAP Analysis)
      • سیستم مدیریت تداوم کسب و کار (BCMS)
      • طراحی و پیاده‌سازی طرح جامع امنیت اطلاعات (IT Security Master Plan)
      • مدیریت خدمات فناوری اطلاعات ITSM مبتنی بر ITIL
      • استاندارد امنیت صنعت پرداخت (PCI/PA DSS)
      • الگوی COBIT
    • خدمات فنی امنیت اطلاعات

      • طراحی و پیاده سازی مراکز داده (Data Center)
      • خدمات فنی زیرساخت فناوری اطلاعات
      • آزمون نفوذپذیری (Penetration Testing)
      • طراحی و پیاده سازی مرکز عملیات امنیت (SOC)
      • امنیت شبکه
      • امنیت سایبری سیستمهای کنترلی و شبکه های صنعتی
      • امن سازی زیرساختهای فناوری اطلاعات
    • خدمات حوزه بلاک چین

      • آشنایی با بلاک چین (Blockchain)
      • امنیت بلاک چین
      • راه اندازی زیرساخت بلاک چین
      • معماری راه حل های مبتنی بر بلاک چین
    • متدولوژی های بومی آشنا ایمن

      • متدولوژی مشاوره سیستم مدیریت امنیت اطلاعات آشنا ایمن (AISCM)
      • متدولوژی تست کارت هوشمند آشنا ایمن(ASCTM)
  • محصولات
    • پرتال جامع امنیت برنامه های موبایل
      • آزمونگر امنیتی برنامه های موبایلی MSST
      • ابزار امن سازی اپلیکیشن های اندروید DexGuard
      • ابزار امن سازی اپلیکیشن های iXGuard – iOS
      • ابزار امن سازی اپلیکیشن های اندروید ProGuard
      • محافظ گر اپلیکیشن های اندروید MSSP
    • کارت هوشمند و چیپ
      • ابزارهای تست کارت هوشمند
      • انواع کارت های هوشمند
      • چیپ و ماژول
      • Pre-Laminated Inlay
      • تگ های غیرتماسی هوشمند
      • سیستم عامل کارت
      • سیم کارت
    • سایر محصولات امنیتی
      • نرم افزار سیستم مدیریت امنیت اطلاعات (ایمن یار)
      • راهکار کاستدی حوزه رمزارز – Crypto Custody
      • الکام سافت
  • دانشستان آشنا ایمن
    • دوره های آموزشی
    • مقالات و انتشارات
    • استانداردهای امنیت و فناوری اطلاعات
    • پوسترهای امنیتی و آگاهی رسانی
  • اخبار
  • وبلاگ
  • رویدادها
    • حضور آشنا ایمن در نمایشگاه الکامپ 97
    • وبینار آموزشی امنیت اپلیکیشن های موبایل
  • همکاری با ما
    • استخدام در آشنا ایمن
    • جذب نمایندگی فروش
  • مشتریان
  • درباره ما
  • تماس با ما
  • جستجو
  • منو منو
مکان شما: خانه1 / آزمونگر امنیتی برنامه های موبایلی

در سالهای اخیر رشد استفاده از تلفن های هوشمند و برنامه های موبایلی بویژه در بستر سیستم عامل اندروید بسیار گسترش یافته و پیش بینی می شود تعداد و کاربرد اپلیکیشن های موبایلی در حوزه های مختلف در آینده نیز با سیر صعودی همراه باشد. با توجه به متن باز بودن اندروید، نگرانی های امنیتی همواره در خصوص برنامه های موبایلی بر روی این بستر مورد توجه بوده است. برنامه های موبایلی روی دستگاههای تلفن همراه نصب می شوند و بنابراین تحت اختیار کامل صاحبان معنوی قرار ندارند. بنابراین ممکن است یک هکر بتواند به سادگی به آن نفوذ کرده و به شکلهای مختلف (از جمله مهندسی معکوس و تغییر در متن کد) و انتشار مجدد آن، از آن سوء استفاده نماید. همچنین بدافزارهای مختلف می توانند به برنامه نصب شده در زمان اجرا نفوذ کرده و به اطلاعات مهم آن دسترسی یابند. شکل زیر تعدادی از مهمترین آسیبهای امنیتی برنامه های موبایلی را نشان می دهد.

ویژگی های منحصر بفرد آزمونگر (MSST)

  • بهره گیری و پوشش کامل استانداردها و متدهای روز دنیا در حوزه آسیب‌پذیری های موبایلی
  • به روزرسانی مستمر پایگاه داده آسیب پذیری ها و متدهای نفوذ
  • اجرای تست های همزمان اپلیکیشن ها با بازدهی بالا و در کوتاه ترین زمان
  • بدون نیاز به تخصص ویژه در حوزه امنیت اطلاعات و کاربری آسان
  • اجرای کلیه تست های امنیتی در سه حوزه پویش آسیب‌پذیری ها، ارزیابی امنیتی و ارزیابی ریسک به صورت اتوماتیک
  • اجرای تست های امنیتی به صورت کاملا جعبه سیاه و تنها با ارائه فایل apk نرم افزار

OWASP Mobile Top Ten  مجموعه ای از مهمترین آسیب پذیری های برنامه های موبایلی را فهرست کرده است. این تهدیدات 10 گانه عبارتند از:

  • Improper Platform Usage: که به عدم استفاده صحیح از تنظیمات امنیتی سیستم عامل موبایل اشاره دارد.
  • Insecure Data Storage: که ناشی از عدم ذخیره سازی ایمن داده ها بر روی موبایل و نشت اطلاعات از این محل می باشد.
  • Insecure Communication: که ناشی از ارتباطات غیر ایمن بین برنامه موبایلی و سرویس دهنده متناظر آن است.
  • Insecure Authentication: که به مدیریت ناصحیح صفحات (sessions) و اعتبارسنجی دسترسی ها (از سمت کلاینت) اشاره دارد.
  • Insufficient Cryptography: که ناشی از ضعف رمزگذاری روی داده های حساس می باشد.
  • Insecure Authorization: این آسیب پذیری به ضعف در اعتبار سنجی دسترسی های مورد نیاز از سمت سرور (سرویس دهنده) مربوط است.
  • Client Code Quality: که به کیفیت کد برنامه و رعایت نکات مختلفی چون buffer overflow اشاره دارد.
  • Code Tampering: بعد از نصب برنامه بر روی دستگاه موبایل، هکرها ممکن است به بخشهای مختلف آن مانند APIهایی که برنامه با آنها ارتباط برقرار می کند و همینطور داده ها و منابعی که برنامه به آنها دسترسی دارد، دسترسی یافته و آنها را تغییر دهند.
  • Reverse Engineering: هکرها ممکن است به سادگی با Decompile کردن برنامه ها، به کد منبع آنها دست پیدا کرده و متن کد را تغییر دهند.
  • Extraneous Functionality: ایجاد دسترسی های خاص برای توسعه دهندگان در زمان توسعه و تست یک برنامه، امری متداول است که این دسترسی ها در زمان عرضه عمومی محصول، حذف می شوند. ممکن است برخی از این دسترسی ها در زمان انتشار محصول حذف نشده باشند.

اطلاع از این آسیب پذیری ها سبب می شود که یک توسعه دهنده یا مالک معنوی محصول بتواند پیش از انتشار آن، آنها را شناسایی کرده و به سادگی برطرف نماید.

آشنا ایمن با بهره گیری از تجارب چندین ساله خود در حوزه امنیت اطلاعات، ابزار آزمونگر امنیتی برنامه های موبایلی (MSST) را ارائه می دهد. این ابزار قدرتمند به عنوان یک بستر خودکار برای تست و پایش اپلیکیشن های اندروید و مدیریت موارد امنیتی در آنها بکار گرفته می شود. هدف اصلی این بستر ایجاد یک ابزار جامع و اتوماتیک برای تست امنیتی راه حل های تحت موبایل و کمک به توسعه دهندگان در جهت شناسایی ضعف های امنیتی و ارائه روش هایی برای برطرف نمودن آسیب‌پذیری های کشف شده در برنامه های خود می باشد.

“آزمونگر” یک ابزار بسیار کارآمد، کاربرپسند و سریع برای کسانی است که می خواهند امنیت برنامه های موبایلی خود را با استفاده از به روز ترین پایگاه داده تهدیدات امنیتی موبایلی در سطح جهان سنجش کرده و مخاطرات احتمالی آنرا بشناسند. “آزمونگر” همچنین ضمن دسته بندی آسیب پذیری های احتمالی در 42 گروه و اولویت بندی آنها، راههای امن سازی هر یک از این آسیب پذیری ها را نیز به کاربران ارائه می نماید.

حوزه های امنیتی مورد بررسی در آزمونگر

ارزیابی امنیت

  • اطلاعات اپلیکیشن
  • تست مجوزهای دسترسی
  • تست عملکردی
  • شناسایی عبارات و کلمات حساس
  • شناسایی ویروس ها
  • شناسایی SDK های شخص ثالث
  • شناسایی SDK های تبلیغاتی

ارزیابی ریسک

  • مهندسی معکوس کدهای جاوا
  • دسترسی به فایل های Shared Objects (.so)
  • دستکاری و ریپکیجینگ
  • حملات تزریق کد پویا و ربودن تصاویر
  • لاگرهای کلید و پروتکل ناامن لایه انتقال
  • امنیت وب ویو: ذخیره کلمات عبور به صورت متن ساده
  • ارائه گواهی های دیجیتال به صورت متن ساده
  • افشاء اطلاعات از طریق دیباگ لاگ‌ها
  • نمایش فایل های منابع
  • حملات پویای دیباگر
  • امنیت کامپوننت اکتیویتی و سرویس
  • امنیت BroadcastReceiver و ContentProvider
  • کنترل تاییدیه امضای اپلیکیشن
  • فایل های پشتیبانی/بازگردانی محافظت‌نشده
  • بازخوانی توابع حساس و ضمنی کامپوننت
  • ریسک دیباگ پویا در لایه جاوا
  • بارگذاری فایل .dex از کارت های SD

پویش آسیب پذیری های امنیتی

  • امنیت وب ویو: اجرای کدها از راه دور
  • تزریق کد SQL
  • نشت اطلاعات ContentProvider
  • کنترل حالت الگوریتم رمزنگاری
  • اعتبارسنجی گواهی SSL
  • دانلود محدودنشده apk از طریق اپلیکیشن
  • فایل های قابل خواندن و نوشتن
  • حملات انکار سرویس (DOS) درون ابزاری
  • اطلاعات تست شبکه داخلی
  • امنیت وب ویو: دورزدن اعتبارسنجی گواهی
  • کنترل آُیب پذیری عدد تصادفی
  • حملات ساختار URL
  • حملات تزریق Fragment
سوالات متداول
ورود به سامانه
دانلود کاتالوگ
تمامی حقوق این سایت متعلق به آشنا ایمن است. - Copyright © 2019
  • خانه
  • اخبار
  • پوسترهای آگاهی رسانی امنیت
  • درخواست محصولات
  • درباره ما
  • تماس با ما
  • تقویم سال 1401 – Desktop Wallpaper Calendar
رفتن به بالا