mobile application penetration testing tools service providers
मोबाइल एप्लिकेशन (टूल और सर्विस प्रोवाइडर के साथ) पेन टेस्टिंग पर स्टेप बाय स्टेप गाइड
एक दशक पहले, प्रौद्योगिकी के विकास के कारण, हम सभी ने आईटी उद्योग के बारे में समझना शुरू किया और यही समय था, हम सभी को कंप्यूटर सिस्टम का उपयोग करके कैसे और क्या किया जा सकता है, इसके बारे में पता चला।
धीरे-धीरे, व्यक्ति में बैंक का दौरा करने और लेनदेन करने के लिए कतार में इंतजार करने के बजाय इंटरनेट का उपयोग करके ऑनलाइन धन हस्तांतरण करना संभव हो गया। इस तरह की मांग के कारण, सभी बैंकों ने ऑनलाइन काम करना शुरू कर दिया।
लेकिन, क्या हम सभी शुरू से ही इस सुविधा का उपयोग करते हुए सहज और सुरक्षित महसूस करते हैं, इसका जवाब जो हम में से अधिकांश कहेंगे वह 'नहीं' है।
जब धन के मामलों की बात आती है, तो हम सभी दो बार सोचते हैं।
जब कुछ नया लॉन्च किया जाता है, तो हम यह सुनिश्चित करना चाहते हैं कि यह सभी पहलुओं में सुरक्षित हो, सभी वेबसाइटें जो हम आजकल उपयोग करते हैं, वे जनता के सामने आने से पहले सुरक्षा जांच की कई परतों से गुजरती हैं। अब ट्रेंड फिर से बदल रहा है और हम चाहते हैं कि सब कुछ एक बटन के क्लिक पर हो जो केवल मोबाइल ऐप का उपयोग करके संभव है।
आप यह कैसे सुनिश्चित कर सकते हैं कि आपके द्वारा प्ले स्टोर या iStore से डाउनलोड किए गए सभी मोबाइल एप्लिकेशन उपयोग करने के लिए सुरक्षित हैं? किसी भी डाउनलोड के साथ दुर्भावनापूर्ण हमलों का जोखिम आता है। उसी कारण से और यह सुनिश्चित करने के लिए कि उनके ऐप को दूसरों पर पसंद किया जाता है, ऐप डेवलपर्स को यह सुनिश्चित करना चाहिए कि वास्तव में डाउनलोड के लिए प्रकाशित करने से पहले उनके ऐप का सफलतापूर्वक सुरक्षा परीक्षण किया गया हो।
यह लेख आपको मोबाइल ऐप के प्रकारों के बारे में जानकारी देगा, मोबाइल ऐप्स के पैठ परीक्षण से क्या उम्मीद की जानी चाहिए, परीक्षण कैसे आयोजित किए जा सकते हैं, सेवा प्रदाता जो मोबाइल ऐप परीक्षण के लिए सेवाएं प्रदान करते हैं और कुछ उपकरणों की सूची का उपयोग किया जा सकता है परिक्षण।
आप क्या सीखेंगे:
- मोबाइल एप्लिकेशन और उनके प्रकार
- मोबाइल ऐप पेनिट्रेशन टेस्टिंग सर्विस प्रोवाइडर
- मोबाइल ऐप पेनिट्रेशन टेस्टिंग टूल
- कुछ लोकप्रिय डमी कमजोर मोबाइल ऐप्स
- आपको अपने टेस्ट से क्या उम्मीद करनी चाहिए?
- पेनेट्रेशन टेस्ट मोबाइल ऐप्स के लिए कदम
- निष्कर्ष
- अनुशंसित पाठ
मोबाइल एप्लिकेशन और उनके प्रकार
इससे पहले कि हम गहराई से आगे बढ़ें हाउ तो कलम परीक्षण एक मोबाइल ऐप , यह सुनिश्चित करना बहुत महत्वपूर्ण है कि आपको मोबाइल ऐप्स के बारे में कुछ जानकारी है।
आइए विभिन्न प्रकार के मोबाइल ऐप्स को समझते हैं।
शुरुआती लोगों के लिए एक प्रोग्रामर कैसे बनें
(1) मूल निवासी मोबाइल एप्लीकेशन
नेटिव ऐप का अर्थ है विशेष रूप से एक विशेष प्रोग्रामिंग भाषा में लिखे गए आईओएस या एंड्रॉइड जैसे किसी विशेष प्लेटफॉर्म के लिए बनाए गए ऐप और उन्हें संबंधित स्टोरों जैसे कि Google के प्ले स्टोर या ऐप्पल के ऐप स्टोर से इंस्टॉल किया जा सकता है। वे सबसे उपयोगकर्ता के अनुकूल अनुभव प्रदान करते हैं और बस आइकन पर क्लिक करके संचालित किया जा सकता है।
थोड़ा अच्छा उदाहरण नेटिव एप्स में फेसबुक, इंस्टाग्राम, एंग्री बर्ड आदि हैं।
एकमात्र समस्या यह है कि ये ऐप सभी प्रकार के उपकरणों के साथ काम नहीं करते हैं जैसे कि अगर कोई ऐप एंड्रॉइड के लिए बनाया गया है, तो यह आईओएस और इसके विपरीत काम नहीं करेगा। नेटिव एप्स बिना इंटरनेट कनेक्टिविटी के भी काम कर सकते हैं।
# 2) मोबाइल ब्राउज़र-आधारित एप्लिकेशन / मोबाइल वेब ऐप्स
मोबाइल वेब ऐप मूल रूप से एक ब्राउज़र पर चलने वाले ऐप हैं और वे डिवाइस-स्वतंत्र हैं।
एक ही ऐप को iOS डिवाइस या Android स्मार्टफ़ोन का उपयोग करके चलाया जा सकता है। ये ऐप ज्यादातर HTML5 में लिखे गए हैं। इन्हें प्रकाशित करना आसान है क्योंकि इसके लिए Google या Apple को अपने स्टोर पर अनुमति देने की कोई आवश्यकता नहीं है।
वेब एप्लिकेशन को सीधे संबंधित वेबसाइटों पर उपलब्ध डाउनलोड बटन का उपयोग करके डाउनलोड किया जा सकता है। एक विशिष्ट उदाहरण हमारी शॉपिंग साइटें होंगी जैसे फ्लिपकार्ट, अमेज़न, आदि।
# 3) मोबाइल हाइब्रिड एप्लीकेशन
ये ऐसे अनुप्रयोग हैं जो आंशिक रूप से मूल और आंशिक रूप से गैर-देशी हैं। उन्हें स्टोर से डाउनलोड किया जा सकता है और साथ ही ब्राउज़र में चलाया जा सकता है।
इन प्रकार के ऐप्स को विकसित करने का लाभ यह है कि यह क्रॉस-प्लेटफॉर्म विकास का समर्थन करता है और इसलिए समग्र विकास लागत को कम करता है, जिसका अर्थ है कि यह एक अलग डिवाइस पर समान कोड घटक का पुन: उपयोग करने की अनुमति देता है। साथ ही, इन ऐप्स को जल्दी विकसित किया जा सकता है।
इसके अलावा, हाइब्रिड मोबाइल ऐप्स आपको देशी और वेब ऐप दोनों की सुविधाएँ प्राप्त करने की अनुमति देते हैं।
मोबाइल ऐप पेनिट्रेशन टेस्टिंग सर्विस प्रोवाइडर
हमारी सिफारिश
(१) सिफर
सिफ़र सर्वश्रेष्ठ मोबाइल ऐप पेन टेस्टिंग सर्विस प्रोवाइडर में से एक है। यह एक वैश्विक सुरक्षा कंपनी के रूप में जाना जाता है जो अत्यधिक कुशल SOC I और SOC II टाइप 2 प्रमाणित प्रबंधित सुरक्षा और परामर्श सेवाएं प्रदान करता है।
मुख्यालय: मियामी, अमेरिका
स्थापित: 2000
कर्मचारियों: 300
राजस्व: $ 20- $ 50 एम
मूल सेवाएं: पेनेट्रेशन टेस्टिंग एंड एथिकल हैकिंग सर्विसेज, वल्नरेबिलिटी असेसमेंट, रिस्क एंड असेसमेंट, पीसीआई असेसमेंट एंड कंसल्टिंग, सॉफ्टवेयर सिक्योरिटी एश्योरेंस, थ्रेट मॉनिटरिंग आदि।
विशेषताएं:
- यह जोखिमों का प्रबंधन करते हुए उन्नत खतरों से बचाव के लिए प्रणाली का समर्थन करता है।
- सिस्टम अनुपालन सुनिश्चित करने के लिए सिफर कुशल और अभिनव समाधान प्रदान करता है।
- यह संबद्ध प्रत्येक संगठन को स्वामित्व और विशिष्ट सुरक्षा सेवाएँ प्रदान करता है।
कुछ अन्य सेवा प्रदाता:
- Appsec
- प्रोचेकअप
- praetorian
- सिजटल
- Wesecureapp
- नेट्सपी
- साइबरचोप्स
- ऐप रे
- जम्पसेक
- साइन्सॉफ्ट
मोबाइल ऐप पेनिट्रेशन टेस्टिंग टूल
- कोर इंपैक्ट प्रो (Android, iOS और Windows)
- ZANTI (एंड्रॉयड)
- Ianalyzer (iOS)
- DVIA (iOS)
अन्य उपकरण:
- पोर्ट स्कैनर (Android)
- फ़िंग (Android और iOS)
- DroidSheep (Android)
- इंटरसेप्ट-एनजी (एंड्रॉइड)
- नेसस (Android)
- Droid SQLi (Android)
- Orweb (Android)
कुछ लोकप्रिय डमी कमजोर मोबाइल ऐप्स
सामान्य तौर पर, कुछ प्रसिद्ध कमजोर मोबाइल एप्लिकेशन हैं जो उपयोगकर्ताओं को मोबाइल परीक्षण का विचार देने के लिए बनाए जाते हैं। इन ऐप में कमजोरियां हैं जो उपयोगकर्ताओं / परीक्षकों को उनकी कलम परीक्षण ज्ञान का अभ्यास करने और बढ़ाने में मदद करने के लिए जानबूझकर हैं।
उदाहरण के साथ मैन्युअल परीक्षण में परीक्षण के मामले कैसे लिखें
आप iMAS, GoatDroid, DVIA, MobiSec का संदर्भ ले सकते हैं:
आपको अपने टेस्ट से क्या उम्मीद करनी चाहिए?
परीक्षण करने के पीछे कारण यह है कि हम जितने मुद्दे खोजते हैं और यह सुनिश्चित करने के लिए कि इससे पहले कि वास्तव में अंतिम उपयोगकर्ता प्रभावित होते हैं, यह सुनिश्चित करें। मोबाइल सुरक्षा समस्या होने का मुख्य कारण यह है कि डेवलपर्स सुरक्षित ऐप्स की तुलना में अधिक उपयोगी ऐप बनाना चाहते हैं और ऐप विकसित करते समय सुरक्षा जागरूकता की कमी की संभावना होती है।
इस खंड में, मैं आपको कुछ कमजोरियों / सुरक्षा दोषों के माध्यम से ले जाऊंगा जिन्हें आपको परीक्षण के भाग के रूप में देखना चाहिए।
आम सुरक्षा के लिए देखने के लिए पंजे:
1) डेटा संग्रहण प्रारूप :यह सब उस प्रारूप पर निर्भर करता है जिसमें डेटा संग्रहीत किया जाता है। चाहे सादे पाठ या अन्य स्वरूपों में। के लिये उदाहरण के लिए: ।, एंड्रॉइड यूजरनेम और पासवर्ड को सादे पाठ में संग्रहीत करता है, जो बदले में इसे अधिक असुरक्षित बनाता है।
2) संग्रहित संवेदनशील डेटा :कभी-कभी डेवलपर्स हार्ड-कोड पासवर्ड या संवेदनशील जानकारी संग्रहीत करते हैं जो आसानी से समझौता कर सकते हैं।
3) खराब कोडिंग के तरीके: ओपन एसएसके लाइब्रेरी का उपयोग जो कि एफएआरएके हमले के लिए असुरक्षित है, इसकी जांच करने के लिए चीजों में से एक है।
4) डेटा एन्क्रिप्शन: यह सुनिश्चित करना महत्वपूर्ण है कि डेटा ट्रांसमिशन सुरक्षित तरीके से किया जाता है, और संग्रहीत डेटा एन्क्रिप्ट किया गया है।
5) कमजोर पासवर्ड निर्माण: पासवर्ड शक्ति की जांच के लिए ऐप्स के पास एक तंत्र होना चाहिए। कमजोर पासवर्ड हमेशा हमलों की चपेट में आते हैं।
6) डेटा सिंक: डेटा या डेटा सिंक का ट्रांसमिशन सुरक्षित तरीके से किया जाना चाहिए। जिस तरह से क्लाउड से डेटा ट्रांसमिट या सिंक किया जाता है उससे अटैक हो सकता है और इसलिए यह डेटा लॉस का कारण बनता है।
मोबाइल ऐप का परीक्षण करना तब भी एक चुनौती बना रहता है जब वेब परीक्षण की तुलना में मोबाइल ऐप बाज़ार में काफी नए होते हैं और हमारे पास वेब की तरह कई स्कैनर उपलब्ध नहीं होते हैं और हम अभी भी चीट शीट बना रहे हैं या स्कैन करने के तरीकों के साथ आ रहे हैं और अंतिम उपयोगकर्ताओं के लिए अधिक सुरक्षित मोबाइल एप्लिकेशन बनाए गए हैं।
पेनेट्रेशन टेस्ट मोबाइल ऐप्स के लिए कदम
मोबाइल एप्स की पेन टेस्टिंग में कुछ कदम शामिल हैं।
वे:
# 1) पर्यावरण सेटअप का परीक्षण करें
टेस्ट पर्यावरण सेटअप अपने आप में एक प्रक्रिया है और पढ़ने के लिए एक अलग विषय हो सकता है :)
मैंने यहाँ परीक्षण वातावरण स्थापित करने के बारे में कई विवरणों का उल्लेख नहीं किया है क्योंकि यह परीक्षण के आधार पर भिन्न होगा। मैंने इसे अभी यहां शामिल किया है क्योंकि मैं इस कदम को पूरी तरह से याद नहीं करना चाहता।
कुछ परीक्षण वास्तविक डिवाइस पर किए जा सकते हैं जबकि कुछ एमुलेटर पर किए जा सकते हैं। इसके अलावा, यह इस आधार पर भिन्न होता है कि हम किस प्लेटफ़ॉर्म पर परीक्षण करने की योजना बना रहे हैं, Android अनुप्रयोगों के लिए हमें एसडीके और आईओएस के लिए स्थापित करने की आवश्यकता हो सकती है, हमें जेलब्रेकिंग की आवश्यकता होगी।
# 2) डिस्कवर / एप्लीकेशन अंडरस्टैंडिंग
प्रत्येक मोबाइल एप्लिकेशन अलग तरह से काम करेगा, इसलिए आपके परीक्षण में बहुत पहला कदम परीक्षण के तहत आवेदन के बारे में अधिक जानकारी की खोज करना या उसका पता लगाना होना चाहिए। इसमें यह पहचानना भी शामिल होना चाहिए कि एप्लिकेशन ओएस और बैक-एंड सर्वर से कैसे कनेक्ट होता है।
इसमें प्रयुक्त पुस्तकालयों की जाँच, प्लेटफ़ॉर्म को बेहतर ढंग से समझना और यह पता लगाना शामिल होना चाहिए कि क्या एप्लिकेशन एक देशी / वेब / हाइब्रिड प्रकार है। इस कदम को भी कहा जा सकता है जानकारी इकट्ठा करना कदम ।
# 3) एप्लिकेशन विश्लेषण / मूल्यांकन
इस चरण के एक भाग के रूप में, मोबाइल डिवाइस पर एप्लिकेशन इंस्टॉल करें और स्थापना से पहले और बाद में फ़ाइल सिस्टम और रजिस्ट्री का स्नैपशॉट लें।
कमजोरी के क्षेत्रों की पहचान करने के लिए उपलब्ध जानकारी का विश्लेषण करें और जिसका शोषण किया जा सकता है, जैसे यह समझना कि संवेदनशील जानकारी कैसे संग्रहीत की जाती है, डेटा कैसे प्रसारित किया जाता है, तीसरे पक्ष के साथ बातचीत कैसे हो रही है, आदि।
# 4) रिवर्स इंजीनियरिंग
यदि परीक्षक के पास स्रोत कोड नहीं है, तो इसकी आवश्यकता होगी। कोड की समीक्षाओं को यह समझने की योजना बनाई जाएगी कि आवेदन आंतरिक रूप से कैसे कार्य करता है। ऐसा करने का इरादा कमजोरियों की खोज करना है।
# 5) ट्रैफ़िक अवरोधन
इस चरण में, डिवाइस को प्रॉक्सी के माध्यम से रूट करने के लिए कॉन्फ़िगर करें, जिससे ट्रैफ़िक को बाधित करने और इंजेक्शन या प्राधिकरण मुद्दों जैसे दोषों का पता लगाने में मदद मिलनी चाहिए।
# 6) ऑपरेशन
विश्लेषण और प्रॉक्सी सेटिंग होने के बाद, शोषण किया जा सकता है जहां आप एक हैकर की तरह व्यवहार करते हैं, हमलों का अनुकरण करते हैं और सिस्टम से समझौता करने की कोशिश करते हैं।
सिस्टम का शोषण करें और दुर्भावनापूर्ण गतिविधियां करें।
# 7) रिपोर्टिंग
उपरोक्त कदम मुख्य परीक्षण कदम बनाएंगे, इसलिए अंतिम चरण सभी निष्कर्षों के बारे में उल्लेख करते हुए एक रिपोर्ट संकलित करना चाहिए। एक अच्छी रिपोर्ट में व्यवसाय और तकनीकी जोखिम मूल्यांकन स्कोर के साथ पाई गई सभी कमजोरियों का विवरण शामिल होना चाहिए।
एक और महत्वपूर्ण बिंदु जिसका उल्लेख किया जा सकता है वह है फिक्स के लिए सिफारिश।
निष्कर्ष
आशा है कि आप सभी को मोबाइल ऐप पेन-टेस्टिंग पर यह लेख पढ़कर अच्छा लगा होगा। मेरी राय में, गतिशीलता परीक्षण अभी भी एक ऐसा क्षेत्र है जिसकी पूरी तरह से खोज नहीं की गई है।
हालाँकि, हम इस पर विचार कर सकते हैं कि यह एक बदलाव लाया गया है और हमें अपनी क्षमताओं पर पुनर्विचार करने का मौका दे रहा है और बॉक्स से बाहर सोचना शुरू कर सकता है और हमारे पारंपरिक परीक्षण दृष्टिकोण से अलग है। डेवलपर्स अपनी रचनात्मकता डाल रहे हैं और विभिन्न प्रकार के ऐप्स के साथ आ रहे हैं, इसलिए यहां तक कि हम परीक्षकों के पास करने के लिए बहुत कुछ है!
आशा है आपको मोबाइल ऐप पेनेट्रेशन टेस्टिंग टूल और सर्विस प्रोवाइडर्स पर अच्छी जानकारी मिली होगी !!
अनुशंसित पाठ
- क्लाउड प्रदर्शन परीक्षण: क्लाउड-आधारित लोड परीक्षण सेवा प्रदाता
- 2021 में शीर्ष 10 प्रबंधित परीक्षण सेवा कंपनियां
- वेब एप्लीकेशन पेनेट्रेशन टेस्टिंग के लिए शुरुआती गाइड
- मोबाइल एप्लिकेशन प्रदर्शन परीक्षण गाइड
- क्लाउड-आधारित मोबाइल एप्लिकेशन परीक्षण: एक संपूर्ण अवलोकन
- शीर्ष 10 मोबाइल परीक्षण सेवा प्रदाता कंपनियां
- सर्वश्रेष्ठ सॉफ्टवेयर परीक्षण उपकरण 2021 (क्यूए टेस्ट स्वचालन उपकरण)
- डेस्कटॉप, क्लाइंट सर्वर परीक्षण और वेब परीक्षण के बीच अंतर