Потрібен пентест мобільного застосунку (iOS/Android) — які артефакти потрібні?
Пентест мобільного застосунку майже ніколи не обмежується лише перевіркою клієнтської частини (самого застосунку на телефоні). У більшості випадків критичні ризики знаходяться в бекенді та API, з якими мобільний клієнт взаємодіє. Саме через API відбуваються витоки даних, обходи авторизації або зловживання бізнес-логікою.
Для повноцінного пентесту підряднику потрібен набір технічних і контекстних артефактів. Насамперед це тестова збірка застосунку: APK або AAB для Android, IPA або доступ через TestFlight для iOS. Без цього неможливо проаналізувати механізми захисту клієнта, обробку даних, зберігання токенів і роботу з сертифікатами.
Другий критичний елемент — тестові облікові записи з різними ролями (звичайний користувач, адміністратор, менеджер тощо). Без ролей неможливо перевірити логіку доступу та сценарії ескалації привілеїв. Також важливо надати опис основних бізнес-сценаріїв, щоб спеціаліст розумів, як застосунок використовується в реальному житті, а не лише технічно.
Окремо варто надати інформацію про API: список endpointів, базову документацію або хоча б опис основних запитів. Навіть мінімальна інформація значно підвищує якість тестування. Також враховуються сторонні SDK: аналітика, push-нотифікації, платіжні модулі, карти, соціальні логіни. Без цих даних мобільний пентест буде поверхневим і не покаже реальні ризики для даних і бізнесу.