Audit de Sécurité Mobile MASTG

Ce qu'il fait

Cette compétence ajoute une capacité de test de sécurité autonome pour les applications mobiles en utilisant le toolkit d'instrumentation dynamique igf (Grapefruit). Elle effectue des vérifications alignées sur l'OWASP MASTG v2 concernant le stockage, la cryptographie, le réseau, la plateforme, le code, la résilience et la confidentialité, en collectant les sorties de commandes comme preuves et en produisant un rapport markdown structuré prêt pour le triage. Les sorties typiques incluent des conclusions signalées avec les ID de test MASTG, la sévérité, des extraits de preuves et des recommandations concrètes de remédiation.

Quand l'utiliser

Utilisez cette compétence lorsque vous avez besoin d'un audit de sécurité systématique d'une application mobile (Android ou iOS), lors de l'intégration de revues de sécurité d'applications, ou avant la mise en production pour détecter les problèmes à haut risque tels que les secrets codés en dur, le trafic ATS/texte clair désactivé, les builds déboguables ou une cryptographie faible. Elle est également utile pour la vérification après corrections. Nécessite un serveur igf et un appareil connecté.

Ce qui est inclus

• Scripts : aucun script groupé dans le répertoire de la compétence (has_scripts=false) — s'appuie sur le CLI igf.
• Références : le corps de la compétence inclut les correspondances de tests MASTG et des exemples de commandes igf pour la collecte de preuves.
• Instructions : configuration étape par étape de la session, recommandations de surveillance du runtime (http, crypto, pins de confidentialité) et un modèle de rapport markdown pour sauvegarder les résultats.

Agents compatibles

Agents ou outils capables d'exécuter des commandes shell et d'interagir avec des appareils (agents compatibles CLI tels que les assistants de code pouvant invoquer igf).