Paru en juin 2018, l'OWASP Mobile Security Testing Guide (MSTG) est devenu une référence pour appréhender et auditer la sécurité des applications mobiles (Android et iOS). Dans cet article, nous allons passer en revue le guide et présenter quelques exemples d'utilisation.
1. Un peu d'histoire
La sécurité des terminaux mobiles est un sujet relativement récent dans le domaine de l'audit et des tests d'intrusion. De plus, l'adoption de ces terminaux en entreprise accélère le besoin des auditeurs, mais également des développeurs de se former au sujet. Mais comment tester correctement la sécurité d'une application mobile ?
Les risques mobiles sont sensiblement différents des risques traditionnels dans le monde de l'informatique. Par ailleurs, l'écosystème mobile implique également un outillage et des techniques de test différents. Il faut donc se mettre à jour et se former. Malheureusement, il n'a pas toujours été facile de trouver une information fraîche et utilisable ces dernières années. Il en résulte un spectre très réduit des tests mobiles : souvent ce sont uniquement les API qui ont été testées plutôt que les applications elles-mêmes.
Heureusement, le projet Mobile Security Testing Guide [OWASP_MSTG] a été...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première