Underc0de

Hasta el día de hoy, no existe un estándar ampliamente aceptado para la seguridad de las aplicaciones para móviles. El objetivo del proyecto Mobile Security Testing Guide (MSTG) (https://www.owasp.org/index.php/OWASP_Mobile_Security_Testing_Guide) es solucionar esta situación. El objetivo es liberar la guía en forma de libro electrónico gratuito y potencialmente un libro impreso para finales de este año.

Además de un estándar de seguridad para aplicaciones móviles, el grupo de trabajo dirigido por Bernhard Mueller (http://owaspsummit.org/Participants/ticket-24h-owasp/Bernhard-Mueller.html) y Sven Schleier (http://owaspsummit.org/Participants/funded/Sven-Schleier.html) están produciendo una guía de pruebas exhaustivas que cubren los procesos, técnicas y herramientas utilizados durante una prueba de seguridad de aplicaciones para móviles, así como un conjunto de casos de prueba que permite a los analistas ofrecer resultados con información coherente y completa.

El objetivo inicial es completar un primer borrador de la Mobile Security Testing Guide (MSTG) y las tareas incluyen:

    - Escribir el contenido original, los procesos de prueba y los casos de prueba.
    - Revisión y edición técnica para mejorar la calidad general del MSTG.


Capítulos asociados en el MSTG:

General / OS-independent

    - Testing Processes and Techniques (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x04-Testing-Processes-and-Techniques.md)
    - Security Testing in the Application Development Lifecycle (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x07-Security-Testing-SDLC.md)
    - Testing Tools (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x08-Testing-Tools.md)


Android

    - Android Security Testing Basics (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05b-Basic-Security_Testing.md)
    - Testing Data Storage (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05d-Testing-Data-Storage.md)
    - Testing Cryptography (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05e-Testing-Cryptography.md)
    - Testing Authentication and Session Management (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05f-Testing-Authentication.md)
    - Testing Network Communication (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05g-Testing-Network-Communication.md)
    - Testing Platform Interaction (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05h-Testing-Platform-Interaction.md)
    - Testing Code Quality and Build Settings (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x05i-Testing-Code-Quality-and-Build-Settings.md)


iOS

    - iOS Security Testing Basics (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06b-Basic-Security-Testing.md)
    - Testing Data Storage (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06d-Testing-Data-Storage.md)
    - Testing Cryptography (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06e-Testing-Cryptography.md)
    - Testing Authentication and Session Management (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06f-Testing-Authentication.md)
    - Testing Network Communication (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06g-Testing-Network-Communication.md)
    - Testing Platform Interaction (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06h-Testing-Platform-Interaction.md)
    - Testing Code Quality and Build Settings (https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06i-Testing-Code-Quality-and-Build-Settings.md)


Associated chapters in the MSTG

    - Android Reverse Engineering (http://owaspsummit.org/Working-Sessions/Mobile-Security/Document/0x05c-Reverse-Engineering-and-Tampering.md)
    - Android Anti-Reversing Defenses (http://owaspsummit.org/Working-Sessions/Mobile-Security/Document/0x05j-Testing-Resiliency-Against-Reverse-Engineering.md)
    - iOS Reverse Engineering (http://owaspsummit.org/Working-Sessions/Mobile-Security/Document/0x06c-Reverse-Engineering-and-Tampering.md)
    - iOS Anti-Reversing Defenses (http://owaspsummit.org/Working-Sessions/Mobile-Security/Document/0x06j-Testing-Resiliency-Against-Reverse-Engineering.md)
    - Assessing Anti-Reverse Engineering Schemes (http://owaspsummit.org/Working-Sessions/Mobile-Security/Document/0x07b-Assessing-Anti-Reverse-Engineering-Schemes.md)



El estado actual de la guía está muy avanzando y sirve de consulta pero los interesados en colaborar pueden unirse (http://owaspsummit.org/Working-Sessions/Mobile-Security/MSTG.html) a los grupos de trabajo organizados en torno a los principales temas tratados en la guía.



Fuente: blog.segu-info.com.ar


PD: podeis encontrar el repositorio con todo el contenido aquí (https://github.com/OWASP/owasp-mstg).

La organización y el proyecto OWASP se han convertido en una referencia para la mayor parte de hackers, auditores y pentesters actuales, cualquier adaptación a entornos mobile seguramente sera un gran desarrollo.