Handbook
  • Introdução
  • Empresa
    • Bem Vindo a Vantico!
    • Valores da Vantico
    • Trabalho Remoto
    • Branding
      • Cores
      • Tipografia
      • Ilustrações
      • Tom de voz & Descrições
    • Políticas
    • Soluções utilizadas pela Vantico
  • Serviços
    • Inteligência de ameaças
    • Revisão de código seguro
    • Pentest WEB
    • Pentest API
    • Pentest Mobile
    • Pentest rede interna
    • Pentest rede externa
    • Revisão de configuração cloud
    • Pentest Azure Active Directory
    • Pentest Desktop
    • Pentest IA/LLM
    • Red Team e Emulação de Adversário
  • Parceiros
    • Visão geral sobre Pentest
    • Tipos de Pentest
    • Relatório do Pentest
    • Teste de correção (Re-test)
    • Pentest para PCI DSS
    • Perguntas frequentes
  • Pentester
    • Markdown
    • Como reportar uma vulnerabilidade
  • Plataforma
    • Começe aqui
      • Acessando a Plataforma
      • Preparação para o Pentest
      • Selecione o Tipo de Pentest
      • Definir os Requisitos do Pentest
        • Alvo
        • Teste suas Crendenciais
        • Instruções para cada Pentest
      • Especifique os Detalhes do Pentest
        • Planejamento e Escopo do Pentest
        • Revisar e Enviar o Pentest
        • Expectativas do Pentest
        • Glossário
    • Changelog
    • Pentests
      • Processos do Pentest
        • Estados de Pentest
        • Lista de verificação de cobertura
      • Descobertas
        • Corrigindo Descobertas
        • Estados das Descobertas
        • Níveis de gravidade
      • Relatórios
        • Conteúdo de um relatório Pentest
        • Customize seu Relatório de Pentest
        • Relatórios de Pentest de marca conjunta
    • Colaboração
      • Colabore em Pentests
      • Gerenciar colaboradores do Pentest
      • Funções e permissões do usuário
      • Notificações
    • Domínios
    • DAST Scanner
      • Alvos
      • Autenticação do Alvo
    • Organização
      • Gerenciar usuários
    • Conta Vantico
      • Solucionar problemas de Login
      • Configurações da Conta
      • Melhores Práticas com a Senha
  • Metodologias
    • API
      • GraphQL
      • REST
    • Cloud
      • AWS
      • BucketLoot
      • Referências
    • Mobile
      • iOS
      • Android
      • Referências
    • Kubernetes
    • Rede Externa
      • Enumeração de Subdomínios
      • Low Hanging Fruits
      • Credenciais de Serviços padrão
    • Rede Interna
      • PowerShell
      • Movimentação Lateral
      • Pós Exploração
      • Escalação de Privilégios
      • Low Hanging Fruits
      • Credenciais de Serviços padrão
      • Referências
    • Aplicações Web
      • Checklist
      • Low Hanging Fruits
      • Gerando Valor
      • Técnicas
      • Automatizando o Scan por Secrets
      • Chaves API
      • Referências
    • Spear Phishing
    • Ferramentas
    • Gerando wordlists efetivas
    • Guia de engajamento de um pentest
Powered by GitBook
On this page

Was this helpful?

  1. Serviços

Pentest Mobile

Revise as metodologias de pentest Vatnco para aplicativos móveis.

PreviousPentest APINextPentest rede interna

Last updated 5 months ago

Was this helpful?

O teste de invasão de aplicativos móveis é um processo no qual um testador usa ataques simulados para identificar possíveis vulnerabilidades de segurança em um aplicativo móvel.,

Seguimos uma metodologia padrão do setor baseada principalmente no Padrão de Verificação de Segurança de Aplicativos Móveis (MASVS) e no Guia de Teste (MASTG) da OWASP. Saiba mais sobre o OWASP Mobile Application Security (MAS).

O teste de invasão de um aplicativo móvel inclui as seguintes etapas:

  • Reconhecimento de escopo alvo

  • Testes automatizados e manuais

  • Explorar vulnerabilidades descobertas

  • Relatórios, triagem e novos testes

Os pentesters Vantico não precisam de acesso ao código-fonte do seu aplicativo, a menos que você o especifique como um requisito.

Observamos a lógica do aplicativo trabalhando com seu aplicativo. Para apoiar nossos pentesters, compartilhe os arquivos IPA (iOS) e/ou APK (Android) ao definir seus ativos. Você também pode compartilhar essas informações no canal privado do Slack para seu pentest.

Reconhecimento do Escopo Alvo

Com base no briefing do pentest preparado pelo cliente, os pentesters da Vantico buscam informações sobre os alvos e investigam o escopo. Essas informações incluem:

  • Noções básicas sobre fluxos de trabalho

  • Compreendendo a lógica de negócios

  • Mapeando a superfície de ataque do aplicativo

Os pentesters então confirmam que podem:

  • Alcançar e escanear os alvos

  • Testar a funcionalidade do aplicativo

Testes automatizados e manuais

Nossos pentesters usam uma variedade de técnicas manuais e ferramentas automatizadas para garantir uma cobertura adequada. Eles analisam seu aplicativo móvel dinamicamente. Eles também avaliam o arquivo, bem como o arquivo local.

Nossos pentesters se concentram em:

  • Canais de comunicação

  • Tráfego que o aplicativo troca com endpoints externos

  • Comunicação entre processos (IPC)

Nossos pentesters também podem fazer engenharia reversa do aplicativo para obter insights e tentar acessar dados confidenciais.

Para testes de backend, eles usam metodologias API Pentest.

Ferramentas:

Os pentesters Vantico podem usar ferramentas como:

  • MobSF

  • Frida

  • Apktool

  • Dex2Jar

  • Objection

As ferramentas que nossos pentesters usam durante cada fase de teste podem variar de teste para teste.

Explorar vulnerabilidades descobertas

Quando nossos pentesters descobrem uma vulnerabilidade, eles usam diversas técnicas para medir o impacto nos seguintes aspectos dos seus dados:

  • Confidencialidade

  • Integridade

  • Disponibilidade

Nossos pentesters usam diversas técnicas para explorar o armazenamento de dados, permissões de plataforma e outros controles de segurança relevantes.

Relatórios, triagem e novo teste

Os pentesters Vantico relatam e fazem a triagem de todas as vulnerabilidades durante a avaliação. Você pode revisar os detalhes de todas as descobertas, em tempo real, por meio da plataforma Vantico. Nessas descobertas, assim como em qualquer relatório, nossos pentesters incluem informações detalhadas sobre como você pode:

  • Corrija cada descoberta

  • Melhore sua postura geral de segurança

Você pode corrigir as descobertas durante e após o pentest. Em seguida, você pode enviar as descobertas para novo teste. Nossos pentesters testam os componentes atualizados e testam novamente os problemas para garantir que não haja riscos residuais relacionados à segurança.