Mobile applications vulnerabilities testing model

Скорочена інформація про документ
dc.contributor.authorAntonishyn, Mykhailo
dc.date.accessioned2023-04-04T10:04:38Z
dc.date.available2023-04-04T10:04:38Z
dc.date.issued2020
dc.description.abstractThe process of testing vulnerabilities of mobile software applications has been analysed. This is due to the need to prevent violations of confidentiality, integrity and availability of information. Individual users and the state as a wholebenefit from the preservation of these properties. However, in practice this is mostly neglected, and attention is paid to the functional testing. While the known approaches of testing vulnerabilities of the mobile software applications are focused on thestudy of certain aspects: either a server or a client. At the same time, the applicability of the international standards of testing vulnerabilities in mobile software applications has been established. A characteristic feature of their guidelines is the focus on OWASP methodology. It determines the rating of the most critical vulnerabilities, standard and test scenarios, tools for determining the level of security. They are summed up in OWASP Mobile TOP 10, OWASP MASVS, and OWASP MSTG recommendations. According to OWASP MSTG, vulnerabilities in mobile software apps are tested using OWASP MASVS. There are three parts in these documents, which are the following: general, Android, iOS. Also, these documents define common scenarios for each level of testing vulnerabilities in mobile software applications, as stated in MASVS. The level of security of mobile software applications is determined based on the results of the tests, namely: the test has been passed, the test has not been passed, and the test is not used for the mobile software application. However, the practical use of OWASP methodology is complicated by the focus on the client side of mobile software applications, the subjectivity of the choice of stages and their sequence. To prevent these limitations, a model for testing vulnerabilities in mobile software applications has been developed. A dependency graph is used to codify this procedure.This allows you to determine the stages of testing vulnerabilities in both client and server parts. In addition,it helps you to explain which testing stages to choose, their order, and the appropriate tools. This justification is accomplished by building a dependency relationship between them. An example of its formulation is “the execution of the next stage is preceded by the execution of the previous one”. The obtained results are demonstrated in the example of SSL pinning vulnerability testing.uk
dc.description.abstractotherПроаналізовано процес тестування уразливостей мобільних програмних застосунків. Це обумовлено необхідністю унеможливлення порушень конфіденційності, цілісності та доступності інформації. Збереженість даних властивостей важлива як для окремих користувачів, так і держави загалом. Однак, на практиці здебільшого цим нехтують і приділяють увагу функціональному тестуванню. Тоді як відомі підходи до тестування уразливостей мобільних програмних застосунків орієнтовані на дослідження окремих аспектів: або серверний, або клієнтський. Водночас встановлено застосовність міжнародних стандартів тестування уразливостей мобільних програмних застосунків. Характерною особливістю їх настанов є орієнтованість на методологію OWASP. Нею визначаються рейтинг найбільш критичних уразливостей, стандарт і сценарії тестування, інструментальні засоби визначення рівня забезпечення безпеки. Вони узагальнюються настановами OWASP Mobile TOP 10, OWASP MASVS, OWASP MSTG. Уразливості мобільних програмних застосунків тестуються у межах OWASP MASVS відповідно до OWASPMSTG. Даними документами визначаються типові сценарії для кожного етапу тестування уразливостей мобільних програмних застосунків, які описані в MASVS, та виокремлюються три частини: загальна, Android, iOS. За результатами проведених тестів визначається рівень забезпечення безпеки мобільних програмних застосунків, а саме: тест пройдено, тест не пройдено та не використовується для мобільного програмного застосунку. Однак, використання методології OWASP на практиці ускладнюється орієнтованістю на клієнтську частину мобільних програмних застосунків, суб’єктивністю обирання етапів і їхньої послідовності. Для запобігання цим обмеженням розроблено модель тестування уразливостей мобільних програмних застосунків. Даний процес формалізовано використанням графу залежностей. Це дозволяє визначати етапи тестування уразливостей як клієнтської, так і серверної частин. До того ж обґрунтувати обирання етапів тестування, їхньої послідовності та відповідних інструментальних засобів. Таке обґрунтування досягається встановленням умови залежності між ними. Як приклад її формулювання розглянуто “виконанню наступного етапу передує виконання попереднього”. Отримані результати продемонстровано на прикладі тестування уразливості SSLpinning.uk
dc.format.pagerangePp. 49-57uk
dc.identifier.citationAntonishyn, M. Mobile applications vulnerabilities testing model / Mykhailo Antonishyn // Information Technology and Security. – 2020. – Vol. 8, Iss. 1 (14). – Pp. 49–57. – Bibliogr.: 18 ref.uk
dc.identifier.doihttps://doi.org/10.20535/2411-1031.2020.8.1.218003
dc.identifier.issn2411-1031
dc.identifier.orcid0000-0002-2665-0066uk
dc.identifier.urihttps://ela.kpi.ua/handle/123456789/54266
dc.language.isoenuk
dc.publisherInstitute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”uk
dc.publisher.placeKyivuk
dc.relation.ispartofInformation Technology and Security : Ukrainian research papers collection, 2020, Vol. 8, Iss. 1 (14)uk
dc.rights.urihttps://creativecommons.org/licenses/by/4.0/
dc.subjectmobileapplicationuk
dc.subjectvulnerabilityuk
dc.subjectMASVSuk
dc.subjectOWASPuk
dc.subjectAndroiduk
dc.subjectvulnerabili tiestesting modeluk
dc.subjectdependencygraphuk
dc.subjectмобільний програмний застосунокuk
dc.subjectуразливістьuk
dc.subjectмодель тестування уразливостейuk
dc.subjectграф залежностейuk
dc.subject.udc004[942::413.4]uk
dc.titleMobile applications vulnerabilities testing modeluk
dc.title.alternativeМодель тестування уразливостей мобільних програмних застосунківuk
dc.typeArticleuk

Файли

Контейнер файлів
Зараз показуємо 1 - 1 з 1
Ескіз
Назва:
218003-534737-1-10-20210608.pdf
Розмір:
924.04 KB
Формат:
Adobe Portable Document Format
Опис:
Завантажити
Ліцензійна угода
Зараз показуємо 1 - 1 з 1
Ескіз недоступний
Назва:
license.txt
Розмір:
9.1 KB
Формат:
Item-specific license agreed upon to submission
Опис:
Завантажити

Зібрання

Information Technology and Security, Vol. 8, Iss. 1 (14)