Mobiele apps en API's Pentest

Mobiele apps vormen vaak een grafische schil om achterliggende API’s. Samen zijn deze visuele schil en de API’s dan de toepassing voor de gebruiker. Om er zeker van te zijn dat de app en API geen veiligheidsrisico voor uw organisatie oplevert, biedt een pentest uitkomst. Maar, hoe verloopt een pentest van mobiele apps en API’s nu eigenlijk? We vertellen u graag hoe we te werk gaan.

Onvio wint KPN Pentest-competitie 2020!
Onvio wint Den Haag Hack-competitie 2019!
Onvio wint KPN Pentest-competitie 2018!

Onvio is ISO27001 gecertificeerd

Onvio is ISO27001 gecertificeerd en lid van Cyberveilig Nederland.

Vraagstellingen bij pentests van mobiele apps en API’s

Er staan verschillende vraagstellingen centraal bij pentests op mobiele apps en API’s. Afhankelijk van uw app voegen onze specialisten hier nog specifieke extra scenario’s aan toe. Zo ontstaat er een complete pentest voor uw specifieke applicatie. Denk aan de volgende scenario’s en vraagstellingen.

  • Zijn gebruikers en rollen juist gescheiden, kloppen hun autorisaties?
  • Is het authenticatieproces op orde, kan iemand ongeautoriseerd toegang krijgen?
  • Is het aantal toegangswegen beperkt?
  • Wordt gevoelige data correct verwerkt en (lokaal) opgeslagen?
  • Kan een kwaadwillende ongeautoriseerd data bewerken of verwijderen?
  • Wordt er gebruik gemaakt van versleuteling zoals TLS en wachtwoord hashing?
  • Bevatten de systemen of componenten bekende kwetsbaarheden zoals XSS?
  • Wordt er veilig gecommuniceerd met achterliggende API’s?
Neem vrijblijvend contact op

Welke soorten Pentesten zijn er?

Een Pentest wordt uitgevoerd op alle typen IT systemen waar veiligheid van belang is.

Bedrijfsnetwerk

Een Pentest gericht op uw bedrijfsnetwerk wijst uit of criminelen uw interne netwerk kunnen binnendringen. Ook wordt er onderzocht of (kwaadwillende) medewerkers of gasten ongewenst data kunnen compromitteren van binnenuit de organisatie.

Bedrijfsnetwerk Pentest

(Web)applicaties

Applicaties en services zoals websites, financiële systemen en portals vormen een toegangsdeur naar gevoelige data. Vaak zelfs vanaf het internet, wat kan leiden tot toegang tot het interne bedrijfsnetwerk. Een Pentest haalt kwetsbaarheden in deze applicaties naar boven.

Webapplicaties Pentest

Mobiel & IoT Hardware

Mobiele Apps en IoT devices verwerken vaak gevoelige gegevens en zijn op verschillende manieren gekoppeld aan andere (web)services en API's. Een Pentest onderzoekt alle mogelijke aanvalsvectoren en koppelingen van de apparaten en diensten.

IoT Hardware Pentest

Industrie / SCADA / ICS

Steeds vaker zijn industriële systemen gekoppeld aan het internet en bedrijfsnetwerken. Bijvoorbeeld SCADA systemen hebben vaak geen optimale beveiliging, wat ze een interessant doelwit maakt met een potentiële grote impact.

Industriële systemen pentest

Audits en assessments

Een Pentest is vaak een verplicht onderdeel van audits voor DigiD, BIO, ISAE of ISO27001. Een Pentest in het kader van een IT assessment is gericht op het voldoen aan normenkaders. Het rapport is direct bruikbaar voor een auditor.

Wifi netwerken

Een WiFi verbinding is de ideale mogelijkheid voor hackers om uw netwerk binnen te dringen. Van buitenaf uw pand kan het signaal opgevangen worden door criminelen om zo op afstand rustig hun gang te gaan zonder op te vallen.

De werkwijze bij pentests van mobiele apps

Allereerst testen we de mobiele app zelf. Hiervoor stellen we het type app vast. We onderscheiden drie verschillende typen apps:

  1. Native apps;
  2. Web apps;
  3. Hybride apps.

Apps die een website inladen vallen onder web apps. Deze controleren wij op hun configuratie, waarna we de website zelf testen met een reguliere pentest. Voor native en hybride apps is het proces anders. Hiervoor passen we de methodieken en richtlijnen van de Mobile Security Testing Guide (MSTG) van OWASP toe. We doorlopen dan de volgende stappen:

  1. Een statische controle van de app, broncode en binaries;
  2. Geautomatiseerde scans naar kwetsbaarheden op de appen API’s;
  3. Dynamische controles op de appdoor deze in een simulator of device te laden.

Dynamische controles op het netwerkverkeer van de app

Onderdelen van een mobiele pentest

Een mobiele pentest bestaat, na de hierboven genoemde onderdelen, uit verschillende specifieke vervolgcontroles.

  • Controle van misbruik door Reverse Engineering en “Tampering” controles.
  • Controle van Authenticatie en Autorisatie mechanismes en API’s.
  • Controle van kwetsbare software en beveiligingsmechanismes.
  • Controle en inspectie van en HTTP(S) verkeer en de versleuteling hiervan.
  • Controle op het gebruik van Cryptografischetoepassingen en versleuteling van gevoelige gegevens.
  • Toetsing van de onderdelen uit de OWASP TOP 10 Mobile.
Neem vrijblijvend contact op

De werkwijze bij API’s pentesten

Na de mobiele app vervolgen we de pentest met de achterliggende API’s. Onze vulnerability scanners zijn geautomatiseerde programma’s die kwetsbaarheden en risicogebieden in kaart brengen. Hoewel deze natuurlijk niet alle gebreken bloot kunnen leggen, helpen ze ons wel heel erg door ‘laaghangend fruit’ in de vorm van kwetsbaarheden op te sporen. Onze hackers gebruiken daarvoor onder anderen NMap, Nessus, Netsparker en eigen Discovery tools om configuraties, DNS-records en andere bronnen na te lopen.

Handmatig pentesten

Na de automatische test gaan onze legale hackers handmatig aan de slag. Zij proberen in te breken in de API’s van uw mobiele app, om zo beveiligingsrisico’s op te sporen. Zij bekijken de API’s zo realistisch mogelijk door de ogen van een hacker. Zij hebben dan ook de vrijheid om creatief te zijn en de data op een realistische manier te compromitteren. Wel geldt daarbij de kanttekening dat uw continuïteit nooit in het geding mag komen, alsmede dat er rekening wordt gehouden met de afgesproken scope.

Met allerlei, soms zelf ontwikkelde, tools, exploits, applicaties en op maat gemaakte scripts gaan de hackers aan de slag. Dit in aanvulling op bestaande tools zoals Metasploit en de Kali-suite. Zoals ook in de praktijk, speelt de creativiteit en kennis van de hacker een grote rol bij het testen van uw systeem. Onze hackers hanteren methodieken van de Open Web Application Security Project (OWASP TOP 10 versie 2017) richtlijnen tijdens het onderzoek. Hierbij worden tenminste de volgende veelvoorkomende beveiligingsfouten onderzocht:

  1. Injection
  2. Broken authentication
  3. Sensitive data exposure
  4. XML External Entities (XXE)
  5. Broken access control
  6. Security misconfiguration
  7. Cross-Site Scripting (XSS)
  8. Insecure deserialization
  9. Componenten met bekende kwetsbaarheden
  10. Onvoldoende logging & monitoring

Op basis hiervan worden tenminste de volgende vraagstellingen onderzocht. Deze lijst is niet uitputtend, onze specialisten passen vaak specifieke extra scenario’s toe op basis van uw applicaties en systemen.

  • Zijn de API’sover een veilige verbinding ontsloten?
  • Is het authenticatieproces op orde, kan iemand ongeautoriseerd toegang krijgen?
  • Zijn systemen goed dicht “getimmerd”, is het aantal toegangswegen beperkt?
  • Wordt gevoelige data correct verwerkt?
  • Kan een kwaadwillende code uitvoeren op de server?
  • Kan een kwaadwillende ongeautoriseerd data bewerken of verwijderen?
  • Bevatten de systemen bekende kwetsbaarheden?
aws audit

Rapportage en vervolg

Tijdens de pentest op uw app en API’s leggen onze hackers alle geconstateerde kwetsbaarheden zorgvuldig vast. Deze rapporteren zij later met een hoog, midden en laag classificatie indeling. Die is weer gekoppeld aan een risicomatrix, zodat u precies weet welke kwetsbaarheden de hoogste prioriteit moeten krijgen.

Tot slot is het van belang om na te denken over de frequentie waarmee u pentesten laat uit voeren. In een jaar tijd kan er veel veranderen aan uw netwerk en raakt ook de gereedschapskist van hackers steeds voller.

Met periodieke (jaarlijkse) pentesten blijft u ongewenste of risicovolle situaties voor en kunt u vertrouwen op een veilig netwerk. Is uw bedrijf toe aan een jaarlijkse controle? Neem dan contact op met onze specialisten.