
de grapefruit1,316
Audit de sécurité mobile automatisé, basé sur des checklists et aligné sur l'OWASP MASTG v2 pour iOS et Android ; exporte des conclusions structurées en markdown et des conseils de remédiation.
Cette compétence ajoute une capacité de test de sécurité autonome pour les applications mobiles en utilisant le toolkit d'instrumentation dynamique igf (Grapefruit). Elle effectue des vérifications alignées sur l'OWASP MASTG v2 concernant le stockage, la cryptographie, le réseau, la plateforme, le code, la résilience et la confidentialité, en collectant les sorties de commandes comme preuves et en produisant un rapport markdown structuré prêt pour le triage. Les sorties typiques incluent des conclusions signalées avec les ID de test MASTG, la sévérité, des extraits de preuves et des recommandations concrètes de remédiation.
Utilisez cette compétence lorsque vous avez besoin d'un audit de sécurité systématique d'une application mobile (Android ou iOS), lors de l'intégration de revues de sécurité d'applications, ou avant la mise en production pour détecter les problèmes à haut risque tels que les secrets codés en dur, le trafic ATS/texte clair désactivé, les builds déboguables ou une cryptographie faible. Elle est également utile pour la vérification après corrections. Nécessite un serveur igf et un appareil connecté.
Agents ou outils capables d'exécuter des commandes shell et d'interagir avec des appareils (agents compatibles CLI tels que les assistants de code pouvant invoquer igf).
Compétence d'audit de sécurité mobile MASTG avec des listes de contrôle complètes alignées sur l'OWASP couvrant les catégories de stockage, crypto, réseau, plateforme, code, résilience et confidentialité. Aucun script groupé — purement basée sur des invites, s'appuyant sur l'outil CLI igf. Bien structurée avec des classifications de sévérité claires et un format de rapport défini. Nécessite une configuration Grapefruit/igf avec un appareil connecté, ce qui limite l'utilisabilité immédiate.
Solide compétence d'audit de sécurité. Les portes de confirmation utilisateur explicites avant les hooks/moniteurs et l'accès aux chemins sont de bonnes pratiques de sécurité. L'interpolation de variables shell dans les commandes igf présente un risque mineur d'injection si les ID de bundle contiennent des caractères spéciaux. Aucun script à tester. La compétence est bien alignée avec l'OWASP MASTG v2 et fournit des conseils de remédiation exploitables.