Практики МAST

Практики MAST

Платформа Стингрей использует методы анализа защищенности мобильных приложений (Mobile Application Security Testing – MAST): DAST, SAST, IAST, API ST.

Используемые методы предоставляют разные данные при анализе приложений. Результаты анализа, полученные от одного метода, дополняют результаты других методов – это позволяет находить более сложные уязвимости с меньшим количеством ложных срабатываний.

[DAST] Dynamic Application Security Testing – Динамический анализ

[DAST] Dynamic Application Security Testing – Динамический анализ

При динамическом анализе Стингрей рассматривает приложение как “черный ящик”. По методике DAST анализируются точки входа (интерфейсы), которые могут быть вызваны другими приложениями. Чтобы повысить эффективность динамического анализа, Стингрей собирает информацию о том, какие точки входа есть у приложения, как эти интерфейсы используются и какие параметры они получают.

[DAST] Dynamic Application Security Testing – Динамический анализ
[IAST] Interactive Application Security Testing – Интерактивный анализ

[IAST] Interactive Application Security Testing – Интерактивный анализ

[IAST] Interactive Application Security Testing – Интерактивный анализ

Стингрей реализует уникальный механизм интерактивного анализа на основе tainted flow –непрерывно мониторит потоки данных приложения, отслеживает движение данных от точек входа до попадания в потенциально опасные функции. Это позволяет с высокой точностью выявлять уязвимости, которые обычно находятся только пентестом.

Дополнительно IAST выявляет уязвимости на основе данных, собранных во время работы приложения. Платформа обнаруживает важные и конфиденциальные данные, обрабатываемые приложением, проверяет их безопасное использование и хранение. Стингрей реализует интерактивный анализ, используя данные, собранные в ходе автотестов или ручного тестирования приложения.

[SAST] Static Application Security Testing – Статический анализ

[SAST] Static Application Security Testing – Статический анализ

Для приложений на Android платформа Стингрей проводит статический анализ декомпилированного исходного кода, для приложений на iOS – анализ дизассемблированного исполняемого файла.

В процессе анализа платформа выявляет небезопасную конфигурацию приложения: ищет токены, ключи шифрования и другие конфиденциальные данные, проверяет сетевое взаимодействие.

[SAST] Static Application Security Testing – Статический анализ
[API ST] Application Programming Interface Security Testing – Анализ программных интерфейсов*

[API ST] Application Programming Interface Security Testing – Анализ программных интерфейсов*

[API ST] Application Programming Interface Security Testing – Анализ программных интерфейсов*

Стингрей анализирует запросы и ответы, собранные во время автотестов или ручного тестирования, подготавливая данные (дамп трафика) для дальнейшего анализа приложения по методу API ST. Непосредственно метод API ST реализуется через интеграцию соответствующих внешних инструментов.

* Мы не проводим API ST, а подготавливаем данные для такого анализа –подготовленный дамп трафика в формате, который используют инструменты для API ST, например, Burp Suite и Netsparker.