(https://raw.githubusercontent.com/OWASP/owasp-mstg/master/Document/Images/titlepage-small.jpg)
Hasta el día de hoy, no existe un estándar ampliamente aceptado para la seguridad de las aplicaciones para móviles. El objetivo del proyecto Mobile Security Testing Guide (MSTG) (https://www.owasp.org/index.php/OWASP_Mobile_Security_Testing_Guide) es solucionar esta situación. El objetivo es liberar la guía en forma de libro electrónico gratuito y potencialmente un libro impreso para finales de este año.
Además de un estándar de seguridad para aplicaciones móviles, el grupo de trabajo dirigido por Bernhard Mueller (http://owaspsummit.org/Participants/ticket-24h-owasp/Bernhard-Mueller.html) y Sven Schleier (http://owaspsummit.org/Participants/funded/Sven-Schleier.html) están produciendo una guía de pruebas exhaustivas que cubren los procesos, técnicas y herramientas utilizados durante una prueba de seguridad de aplicaciones para móviles, así como un conjunto de casos de prueba que permite a los analistas ofrecer resultados con información coherente y completa.
El objetivo inicial es completar un primer borrador de la Mobile Security Testing Guide (MSTG) y las tareas incluyen:
- Escribir el contenido original, los procesos de prueba y los casos de prueba.
- Revisión y edición técnica para mejorar la calidad general del MSTG.
Capítulos asociados en el MSTG:
General / OS-independent - Testing Processes and Techniques (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04-Testing-Processes-and-Techniques.md)
- Security Testing in the Application Development Lifecycle (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x07-Security-Testing-SDLC.md)
- Testing Tools (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x08-Testing-Tools.md)
Android - Android Security Testing Basics (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05b-Basic-Security_Testing.md)
- Testing Data Storage (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md)
- Testing Cryptography (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05e-Testing-Cryptography.md)
- Testing Authentication and Session Management (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05f-Testing-Authentication.md)
- Testing Network Communication (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md)
- Testing Platform Interaction (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md)
- Testing Code Quality and Build Settings (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05i-Testing-Code-Quality-and-Build-Settings.md)
iOS - iOS Security Testing Basics (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06b-Basic-Security-Testing.md)
- Testing Data Storage (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06d-Testing-Data-Storage.md)
- Testing Cryptography (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06e-Testing-Cryptography.md)
- Testing Authentication and Session Management (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06f-Testing-Authentication.md)
- Testing Network Communication (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06g-Testing-Network-Communication.md)
- Testing Platform Interaction (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06h-Testing-Platform-Interaction.md)
- Testing Code Quality and Build Settings (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06i-Testing-Code-Quality-and-Build-Settings.md)
Associated chapters in the MSTG - Android Reverse Engineering (http://owaspsummit.org/Working-Sessions/Mobile-Security/Document/0x05c-Reverse-Engineering-and-Tampering.md)
- Android Anti-Reversing Defenses (http://owaspsummit.org/Working-Sessions/Mobile-Security/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md)
- iOS Reverse Engineering (http://owaspsummit.org/Working-Sessions/Mobile-Security/Document/0x06c-Reverse-Engineering-and-Tampering.md)
- iOS Anti-Reversing Defenses (http://owaspsummit.org/Working-Sessions/Mobile-Security/Document/0x06j-Testing-Resiliency-Against-Reverse-Engineering.md)
- Assessing Anti-Reverse Engineering Schemes (http://owaspsummit.org/Working-Sessions/Mobile-Security/Document/0x07b-Assessing-Anti-Reverse-Engineering-Schemes.md)
El estado actual de la guía está muy avanzando y sirve de consulta pero los interesados en colaborar pueden unirse (http://owaspsummit.org/Working-Sessions/Mobile-Security/MSTG.html) a los grupos de trabajo organizados en torno a los principales temas tratados en la guía.
Fuente: blog.segu-info.com.arPD: podeis encontrar el repositorio con todo el contenido
aquí (https://github.com/OWASP/owasp-mstg).
La organización y el proyecto OWASP se han convertido en una referencia para la mayor parte de hackers, auditores y pentesters actuales, cualquier adaptación a entornos mobile seguramente sera un gran desarrollo.