Kurumlar birçok yazılım dilini kullanarak mobil uygulamalar geliştirmektedirler. Bazı durumlarda kurumlar mobil uygulama geliştirme ihtiyaçlarını üçüncü parti firmalar ile de sağlamaktadırlar. Hizmet kapsamında kurumların, gerek kendi geliştirdikleri gerekse de üçüncü parti firmalar tarafından geliştirilen mobil uygulamalarına yönelik uluslararası metadolojik yaklaşımlar kullanarak, mobil uygulama sızma testleri gerçekleştirmekteyiz. Mobil uygulama sızma testleri hem kurum iç ağında hem de müşteri/personel ağında çalışabilmektedir. Mobil uygulama testleri profilleme yöntemi kullanılarak test edilmektedir. Böylece her profildeki kullanıcılar tarafından istismar edilebilecek zayıflıklar tespit edilerek, raporlanır. Testler sonunda tespit edilen bulgular ve bu bulguların giderilme yöntemleri kuruma rapor halinde sunulur. Mobil uygulamaların şifre saklama, uygulama zayıflığı ve güvensiz iletişim gibi birçok test yöntemiyle testleri gerçekleştirilir. Bu kapsamda uygulanan testler aşağıda yer alan OWASP metadolojisi temel alınarak gerçekleştirilir.
OWASP TOP 10 Mobil Güvenlik Riskleri:
- M1: Improper Platform Usage – Yanlış Platform Kullanımı
- M2: Insecure Data – Güvensiz Veri
- M3: Insecure Communication – Güvensiz İletişim
- M4: Insecure Authentication – Güvensiz Kimlik Doğrulama
- M5: Insufficient Cryptography – Yetersiz Kriptografi
- M6: Insecure Authorization – Güvensiz Yetkilendirme
- M7: Client Code Quality Issues – İstemci Kodu Kalite Sorunları
- M8: Code Tampering – Kodu Modifiye Etmek
- M9: Reverse Engineering – Tersine Mühendislik
- M10: Extraneous Functionality – Gereğinden Fazla İşlevsellik (Sistem Servisi Kullanma)
