OWASP MASTG — OWASP Mobile Application Security Testing Guide — bu mobil ilovalar xavfsizligini tekshirish uchun OWASP tomonidan yaratilgan bepul va ochiq qo‘llanma.
WASP MASTG nima?
MASTG mobil ilovalarni (Android va iOS) qanday test qilish kerakligini amaliy tarzda ko‘rsatib beradigan qo‘llanma. U nazariya + real tekshiruv usullarini birlashtiradi.
📅 Yaratilgan va yangilangan sanalar
- MASTG — OWASP Mobile Application Security Testing Guide dastlabki versiyalari MSTG nomi bilan paydo bo‘lgan va OWASP jamoasi tomonidan mobil ilovalar xavfsizligini test qilish bo‘yicha qo‘llanma sifatida yaratilgan.
Dastlabki jamoa yangilangan release’lar bilan 2021 yilda e’lon qilingan. - Eng so‘nggi rasmiy versiya:
GitHub bo‘yicha v1.7.0 eng yangi reliz sanasi — 31 oktyabr 2023. Bu talqin MASTG strukturini takomillashtirish va test bo‘limlarini yaxshilash bo‘yicha refaktor qilingan versiyadir.
👉 Oddiy qilib aytganda:
Initial qism 2021 yilda e’lon qilingan, so‘nggi yangilanish esa 2023 yil oxirida (v1.7.0) chiqdi.
Kimlar uchun?
- 🔐 Pentesterlar
- 👨💻 Mobile developerlar
- 🧪 Security engineer / QA
- 🏢 AppSec jamoalar
MASTG nimani o‘z ichiga oladi?
U quyidagi asosiy bo‘limlardan iborat:
1. General Testing (mobil OS ichki ishlashi va hujum sirtlarini aniqlash)
- Threat modeling
- Attack surface aniqlash
- Reverse engineering asoslari
2. Platform-Specific (Android/iOS xavfsizlik testlari)
- 📱 Android Security Testing
- 🍎 iOS Security Testing
3. Xavfsizlik yo‘nalishlari (HTTPS, sertifikat pinning, tokenlar, kriptografiya)
- Local storage (SharedPreferences, Keychain, SQLite)
- Cryptography
- Authentication & Session management
- Network security (MITM, TLS)
- Platform interaction (Intents, Deep links)
- Code tampering & reverse engineering
- Anti-debugging, root/jailbreak detection
4. Amaliy testlar (kodni tahlil qilish, runtime tekshiruvlari)
- Qanday qilib test qilish
- Qaysi tool’lar ishlatiladi (Frida, MobSF, jadx, objection va boshqalar)
- Real-world misollar
MASTG va MASVS farqi
Bu juda muhim 👇
- MASVS — “NIMA talab qilinadi?” (xavfsizlik talablari)
- MASTG — “QANDAY tekshiriladi?” (test qilish usullari)
👉 Odatda MASVS + MASTG birga ishlatiladi
Qachon foydali?
- Mobile pentest qilayotganda
- Secure mobile app ishlab chiqayotganda
- Compliance / audit uchun
- Bug bounty’da mobile target bo‘lsa
Добавить комментарий