El testing de la seguridad en las aplicaciones móviles

En esta charla empezaré por una presentación sobre el testing de seguridad y el tipo de pruebas que podemos hacer. Podemos diferenciar dos tipos de pruebas, unas para análisis estático y otras para análisis dinámico. Explicaré los riesgos que podemos identificar para la seguridad de las aplicaciones móviles como el modelo de amenazas y vulnerabilidades y de qué manera podemos seguir la guía de pruebas para móviles OWASP a fin de detectar estos riesgos.

En relación con las metodologías explicaré dos maneras de conseguir información sobre la aplicación, a través del análisis arquitectural y del entorno. Respecto al modelo de amenazas, hablaré sobre la seguridad a nivel del dispositivo y sobre la seguridad a nivel de la aplicación. Asimismo, sobre el análisis de vulnerabilidades mostraré los principales métodos para identificar defectos potenciales en las aplicaciones y algunas recomendaciones para testear vulnerabilidades. Seguidamente, me centraré en los permisos de modelo en aplicaciones de Android y iOS y componentes de la seguridad en ambos sistemas operativos.

Por lo que respecta al testing, presentaré el plan de pruebas para la seguridad y cómo aplicarlo a la hora de testear la seguridad de los componentes. También presentaré una herramienta de exploración de vulnerabilidades como una búsqueda de software automatizado y destacaré las mejores prácticas, por ejemplo, integrar estas herramientas automatizadas en el proceso de integración continua.

Finalmente, comentaré lo que el tester de seguridad necesita saber desde el punto de vista del atacante y del que se defiende.

Ponencia en castellano con traducción simultánea al inglés

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.