Parcourir les catégories
Explorer
Fiverr Pro
Français
$
USD
Je vais pentester et sécuriser votre application mobile
Opérateur senior de red team et pentesteur
e1abrador.com
Red Teamer avec plus de 6 ans d'expérience en sécurité offensive. Je dirige des opérations de Red/Purple Team complètes dans les environnements financiers, d'entreprise et d'infrastructu...
Certifié par Fiverr Pro
Eric L a été sélectionné par l'équipe Fiverr Pro pour son expertise.
Certifié pour
Cybersécurité
À propos de ce service
Vetted Pro
Test de pénétration d'applications mobiles iOS & Android.
Plus de 6 ans dans la sécurité offensive. Test de pénétration mobile complet conforme à OWASP MASVS, Mobile Top 10 et NIST SP 800-115 adapté pour SOC 2, ISO 27001, HIPAA et PCI-DSS.
Portée :
Analyse statique des IPA/APK/AAB secrets codés en dur, crypto faible, bibliothèques non sécurisées
Analyse dynamique sur iOS jailbreaké & Android rooté (Frida, Objection, Burp)
Stockage local Keychain, Keystore, SQLite, plist, logs, cache
Authentification & session biométrie, tokens, JWT, OAuth/SSO
APIs backend BOLA/IDOR, auth cassé, logique métier
Problèmes de plateforme liens profonds, injection d'intent, WebView, IPC
Anti-tampering root/jailbreak, anti-debug, reconditionnement
Livrables :
Résumé exécutif pour la direction et les auditeurs
Rapport technique avec CVSSv4, PoC, étapes de reproduction
Couverture MASVS
Feuille de route de remédiation prioritaire
Retest (selon le package commandé)
Secteurs : fintech, santé, crypto/Web3, entreprise. Contactez-moi pour un périmètre et un calendrier adaptés.
FAQ
Traduction automatique
Testez-vous iOS, Android ou les deux ?
Les deux. Je teste les applications natives iOS (Swift/Objective-C), Android (Kotlin/Java), ainsi que les applications multiplateformes (React Native, Flutter, Xamarin, Ionic). Si vous avez les deux plateformes, je recommande de les tester ensemble car elles partagent souvent le même backend mais présentent des faiblesses côté client différentes.
De quoi avez-vous besoin de ma part pour commencer ?
De quoi avez-vous besoin pour commencer ? Quatre choses : - La build (IPA, APK ou AAB) ou un lien vers la boutique - Comptes de test avec différents niveaux de privilèges - Un périmètre clair incluant les fonctionnalités en scope et tout backend concerné.
Avez-vous besoin du code source ?
Non. Je réalise par défaut des tests black-box et grey-box en décompile et en ingénierie inverse de la build. Si vous fournissez le code source, je peux faire une revue hybride et détecter des problèmes supplémentaires, mais ce n’est pas obligatoire.
Testez-vous aussi les APIs backend ?
Oui. Les APIs avec lesquelles votre application communique sont incluses par défaut, c’est là que se trouvent généralement les vulnérabilités les plus impactantes (BOLA/IDOR, auth cassé, failles de logique métier). Si votre backend appartient à un tiers, j’aurai aussi besoin de leur autorisation écrite.
À quoi ressemble le rapport final ?
Vous recevez un résumé exécutif pour la direction, un rapport technique avec le scoring CVSSv4, une preuve de concept, des captures d’écran et des étapes de reproduction pour chaque vulnérabilité, ainsi qu’un guide de remédiation prioritaire que vos développeurs peuvent suivre. Conforme à OWASP MASVS.
Le test va-t-il casser notre application ou impacter les utilisateurs en production ?
Non. Les tests sont réalisés sur un environnement de test dédié ou une build non en production autant que possible. Si un test en production est nécessaire, nous convenons de fenêtres sûres et d’exclusions.
Mon application et mes données restent-elles confidentielles ?
Toujours. Je travaille sous NDA, stocke les artefacts sur des supports cryptés, et détruis en toute sécurité tous les fichiers de build, identifiants et résultats 30 jours après la clôture du projet (ou selon votre politique de conservation).
