Практики анализа

  • DAST
  • SAST
  • IAST
  • API ST

Mobile Application Security Testing (MAST)

Платформа Стингрей использует методы анализа защищенности мобильных приложений (Mobile Application Security Testing — MAST): DAST, SAST, IAST, API ST.

Используемые методы предоставляют разные данные при анализе приложений. Результаты анализа, полученные от одного метода, дополняют результаты других методов — это позволяет находить более сложные уязвимости с меньшим количеством ложных срабатываний.

background

Dynamic Application Security Testing (DAST) —Динамический анализ

При динамическом анализе Стингрей рассматривает приложение как «черный ящик». По методике DAST анализируются точки входа (интерфейсы), которые могут быть вызваны другими приложениями.

Чтобы повысить эффективность динамического анализа, Стингрей собирает информацию о том, какие точки входа есть у приложения, как эти интерфейсы используются и какие параметры они получают.

background

Interactive Application Security Testing (IAST) — Интерактивный анализ

Стингрей реализует уникальный механизм интерактивного анализа на основе tainted flow —непрерывно мониторит потоки данных приложения, отслеживает движение данных от точек входа до попадания в потенциально опасные функции. Это позволяет с высокой точностью выявлять уязвимости, которые обычно находятся только пентестом.

Дополнительно

IAST выявляет уязвимости на основе данных, собранных во время работы приложения. Платформа обнаруживает важные и конфиденциальные данные, обрабатываемые приложением, проверяет их безопасное использование и хранение. Стингрей реализует интерактивный анализ, используя данные, собранные в ходе автотестов или ручного тестирования приложения.

background

Static Application Security Testing (SAST) — Статический анализ

Для приложений на Android платформа Стингрей проводит статический анализ декомпилированного исходного кода, для приложений на iOS — анализ дизассемблированного исполняемого файла.

В процессе анализа платформа выявляет небезопасную конфигурацию приложения: ищет токены, ключи шифрования и другие конфиденциальные данные, проверяет сетевое взаимодействие.

background

Application Programming Interface Security Testing (API ST) — Анализ программных интерфейсов*

Стингрей анализирует запросы и ответы, собранные во время автотестов или ручного тестирования, подготавливая данные (дамп трафика) для дальнейшего анализа приложения по методу API ST. Непосредственно метод API ST реализуется через интеграцию соответствующих внешних инструментов.

Обратите внимание

*Мы не проводим API ST, а подготавливаем данные для такого анализа — подготовленный дамп трафика в формате, который используют инструменты для API ST, например, Burp Suite и Netsparker.

background