Skondensowane, praktyczne szkolenie dotyczące bezpieczeństwa aplikacji androidowych, projektowane głównie z myślą o architektach i programistach aplikacji opartych na Androidzie oraz tych, którzy badają ich bezpieczeństwo. Na szkoleniu zajrzysz do środka wybranej aplikacji i poznasz sposób jej działania. Dowiesz się, dlaczego w testach tego typu warto użyć… najstarszej możliwej wersji systemu oraz czemu nie można się obejść bez zrootowanego urządzenia.Podsłuchasz też komunikację sieciową, poszukasz miejsc do wstrzyknięcia kodu – przekonasz się też, że czasem sekrety lecą prosto do logcata.
Voucher 2024
Zachęcamy do zakupu Vouchera 2024 na to szkolenie. Voucher daje gwarancję ceny z roku 2023 i można wykorzystać do końca 2024 roku (terminy szkoleń na 2024 będzie można znaleźć w sklepie, voucher upoważnia do udziału w szkoleniu w dowolnym terminie proponowanym przez organizatora).
Czego dowiesz się podczas szkolenia
- Dowiesz się jak wygląda model zabezpieczeń urządzeń z systemem Android
- Zobaczysz na żywej aplikacji w jaki sposób profesjonalnie podejść do testów bezpieczeństwa aplikacji
- Dowiesz się jak stworzyć środowisko do testów aplikacji mobilnych
- Poznasz podatności występujące w nowoczesnych aplikacjach
- Uzyskasz wskazówki, jak utrudnić analizę działania aplikacji nieautoryzowanym osobom
Co powinieneś wiedzieć przed szkoleniem
- W czasie szkolenia uczestnik wprowadzany jest w świat bezpieczeństwa systemów i aplikacji mobilnych od podstaw - nie jest wymagana szczegółowa wiedza wykraczająca poza podstawowe pojęcia i znajomość podstaw budowy systemów bazujących na Linux.
- Opcjonalnie- aby ułatwić przyswajanie wiedzy przekazywanej w czasie szkolenia, wskazane jest aby uczestnik szkolenia posiadał wiedzę związaną z podstawową obsługą Burp Suite, potrafił wykonywać podstawowe operacje w systemach bazujących na Linux oraz znał podstawy języków takich jak Java, JavaScript.
Do kogo skierowane jest szkolenie
- Do programistów aplikacji mobilnych,
- Do osób chcących dogłębnie poznać bezpieczeństwo nowoczesnych systemów mobilnych,
- Do tych, którzy samodzielnie chcą rozpocząć testy bezpieczeństwa aplikacji mobilnych.
Agenda
1. Podstawy działania systemu, oraz mechanizmy bezpieczeństwa w Android. Opis dodatkowych mechanizmów, specyficznych dla poszczególnych producentów
- Proces bootowania systemu
- SELinux
- Sandbox
- Tryby szyfrowania danych
- TEE (Trusted Execution Environment)
- Różnica w bezpieczeństwie Androida od poszczególnych producentów. Dodatkowe mechanizmy wdrażane w systemie/ smartfonie, przez poszczególnych producentów
2. Przygotowanie środowiska do testów penetracyjnych: root. Konsekwencje root dla urządzenia
- Rootowanie urządzenia - opis procesu.
- Nieoficjalny manager roota. Opis możliwości Magiska. Wykorzystanie modułów Magiska do omijania zabezpieczeń aplikacji mobilnych.
- Konsekwencje roota dla urządzenia.
- Ukrywanie obecności roota na urządzeniu.
3. Narzędzia przydatne do testów penetracyjnych aplikacji na Android, m.in:
- Narzędzia do interakcji ze zrootowanym smartfonem.
- Narzędzia do odtwarzania kodu źródłowego.
- Narzędzia umożliwiające i ułatwiające testy penetracyjne aplikacji.
- Przygotowanie środowiska i pozostałych narzędzi, umożliwiających i ułatwiających testy penetracyjne aplikacji mobilnych.
- Wykorzystanie emulatora do testów.
4. Testy penetracyjne aplikacji mobilnej: przykładowy scenariusz. Odzyskanie i modyfikacja pakietu .apk/ .abb aplikacji mobilnej. Analiza statyczna i dynamiczna. Wstęp do analizy ruchu sieciowego. Omijanie zabezpieczeń aplikacji w praktyce. Wszystkie czynności pokazywane na żywych i aktualnych przykładach, z możliwością samodzielnego ich odtworzenia po szkoleniu.
- Odzyskanie pakietu .apk/ .abb. Odzyskanie kodu źródłowego. Podstawa analizy wstecznej.
- Pobranie interesujących danych z pakietu aplikacji.
- Modyfikacja i instalacja zmodyfikowanej aplikacji na urządzeniu.
- Przepuszczanie ruchu sieciowego aplikacji przez Proxy. (live demo)
- Zabezpieczenia aplikacji mobilnej (i platformy Android) i techniki ich omijania. Popularne błędy bezpieczeństwa w aplikacjach mobilnych. (live demo).
- Funkcjonalności aplikacji mobilnych, w których szczególnie warto wyszukiwać błędy bezpieczeństwa, bazując na żywych i aktualnych przykładach. (live demo)
- Zabezpieczenia aplikacji: omówienie sposobu działania, implementacji, i technik ich omijania.
- Popularne błędy bezpieczeństwa w aplikacjach mobilnych. Specyficzne miejsca w aplikacjach mobilnych, na które warto szczególnie poświęcić uwagę, podczas testowania bezpieczeństwa.
- Wskazówki ułatwiające testy penetracyjne aplikacji.
5. Jak skutecznie zabezpieczyć aplikację mobilną.
- Blogi, książki, źródła on-line przydatne w nauce pentestów aplikacji mobilnych.
- Podatne aplikacje, służące do nauki hakowania aplikacji mobilnych.
- Checklista dla programistów/ zespołów deweloperskich.
- Dodatkowe materiały pozwalające na oszacowanie bezpieczeństwa aplikacji mobilnej na każdym etapie rozwoju projektu.
Przydatne informacje
Szkolenie on-line; wystarczy komputer z dostępem do internetu. Szkolenie odbędzie się w godzinach 10:00 - 14:00
- [UWAGA!] Link/Linki do szkolenia wysyłamy najpóźniej do dwóch dni przed szkoleniem w osobnej wiadomości, na podanego podczas rejestracji maila. Jeżeli nie dostałeś linka to napisz na szkolenia@securitum.pl podając numer zamówienia.
Co zawiera cena szkolenia
-
- udział w szkoleniu na żywo
- dostęp do nagrania z szkolenia przez 30 dni od zakończeniu wydarzenia
- certyfikat uczestnictwa (w pdf)
Podobne szkolenia
Sekrety bezpieczeństwa aplikacji iOS
O prowadzącym
Marek Rzepecki - Pasjonat tematyki cyberbezpieczeństwa. Od blisko pięciu lat, kosultant ds. bezpieczeństwa w Securitum. Zrealizował ponad 250 niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz ataków DDoS dla polskich oraz zagranicznych firm. Prowadzi szkolenia z tematyki bezpieczeństwa aplikacji mobilnych, aplikacji webowych oraz cyber awareness. Autor rozdziałów poświęconych bezpieczeństwu aplikacji mobilnych, w książce Sekuraka.
Prelegent na konferencjach branżowych: Confidence (2019), Mega Sekurak Hacking Party (2019, 2020, 2022). W wolnym czasie, uczestnik programów Bug Bounty.
Posiadacz certyfikatu OSCP (Offensive Security Certified Professional).
