Sekrety bezpieczeństwa aplikacji iOS

Skondensowane i praktyczne szkolenie skierowane dla programistów aplikacji mobilnych, osób chcących dogłębnie poznać bezpieczeństwo systemu iOS, oraz tych, którzy samodzielnie chcą rozpocząć testy bezpieczeństwa aplikacji na tą platformę. Na szkoleniu praktycy tematu dzielą się wiedzą m.in na temat najczęstszych podatności w aplikacjach opartych na iOS oraz  metodach obrony przed nimi, a także uczą jak wykonywać profesjonalne testy bezpieczeństwa. 

Czas trwania:

4 godziny 

Prowadzący:

Marek Rzepecki

Do kogo skierowane jest szkolenie:

  • Do programistów aplikacji mobilnych,
  • Do osób chcących dogłębnie poznać bezpieczeństwo nowoczesnych systemów mobilnych,
  • Do tych, którzy samodzielnie chcą rozpocząć testy bezpieczeństwa aplikacji mobilnych.

Czego nauczysz się podczas szkolenia:

  • Dowiesz się jak wygląda model zabezpieczeń urządzeń z systemem iOS
  • Zobaczysz na żywej aplikacji w jaki sposób profesjonalnie podejść do testów bezpieczeństwa aplikacji
  • Dowiesz się jak stworzyć środowisko do testów aplikacji mobilnych
  • Poznasz podatności występujące w nowoczesnych aplikacjach
  • Uzyskasz wskazówki, jak utrudnić analizę działania aplikacji nieautoryzowanym osobom

Agenda:

1. Podstawy działania systemu, oraz mechanizmy bezpieczeństwa w iOS, m.in:

  • Proces bootowania systemu
  • Sandbox
  • Secure Enclave
  • Data Protection Classes
  • Dodatkowe mechanizmy

2. Przygotowanie środowiska do testów penetracyjnych: jailbreak. Konsekwencje jailbreaka dla urządzenia. Problem jailbreaka w najnowszych wersjach systemu.

  • Na czym polega jailbreak. Typy jailbreaków oraz exploitów pozwalających na jailbreak.
  • Samodzielne jailbreakowanie smartfonu, w zależności od wersji oprogramowania.
    Jailbreak w iPhone z najnowszymi procesorami. Jailbreakowanie urządzenia z iOS 16.0 <
  • Konsekwencje jailbreaka dla urządzenia.
  • Ukrywanie obecności jailbreaku na urządzeniu.

3. Narzędzia przydatne do testów penetracyjnych aplikacji na iOS, m.in:

  • Narzędzia umożliwiające, i ułatwiające testy penetracyjne aplikacji, pobrane z "nieoficjalnego sklepu (Cydia oraz pokrewne)".
  • Przygotowanie środowiska i pozostałych narzędzi, umożliwiających i ułatwiających testy penetracyjne aplikacji mobilnych.

4. Testy penetracyjne aplikacji mobilnej: przykładowy scenariusz. Odzyskanie i modyfikacja pakietu .ipa aplikacji mobilnej. Analiza statyczna i dynamiczna. Wstęp do analizy ruchu sieciowego. Omijanie zabezpieczeń aplikacji w praktyce. Wszystkie czynności pokazywane na żywych i aktualnych przykładach, z możliwością samodzielnego ich odtworzenia po szkoleniu.

  • Odzyskanie pakietu .ipa. Podstawa analizy statycznej.
  • Pobranie interesujących danych z pakietu aplikacji.
  • Przepuszczanie ruchu sieciowego aplikacji przez Proxy.
  • Zabezpieczenia aplikacji mobilnej (i platformy iOS) i techniki ich omijania. Popularne błędy bezpieczeństwa w aplikacjach mobilnych. (live demo).
  • Funkcjonalności aplikacji mobilnych, w których szczególnie warto wyszukiwać błędy bezpieczeństwa, bazując na żywych i aktualnych przykładach. (live demo)
  • Zabezpieczenia aplikacji: omówienie sposobu działania, implementacji, i technik ich omijania.
  • Popularne błędy bezpieczeństwa w aplikacjach mobilnych. Specyficzne miejsca w aplikacjach mobilnych, na które warto szczególnie poświęcić uwagę, podczas testowania bezpieczeństwa.
  • Wskazówki ułatwiające testy penetracyjne aplikacji.

5. Jak skutecznie zabezpieczyć aplikację mobilną.

  • Blogi, książki, źródła on-line przydatne w nauce pentestów aplikacji mobilnych.
  • Podatne aplikacje, służące do nauki hakowania aplikacji mobilnych.
  • Checklista dla programistów/ zespołów deweloperskich.
  • Dodatkowe materiały pozwalające na oszacowanie bezpieczeństwa aplikacji mobilnej na każdym etapie rozwoju projektu.

Przydatne informacje: 

Szkolenie on-line; wystarczy komputer z dostępem do internetu. Szkolenie odbędzie się w godzinach 10:00 - 14:00.

Co zawiera cena szkolenia:

    • udział w szkoleniu na żywo
    • dostęp do nagrania z szkolenia przez 30 dni od zakończeniu wydarzenia
    • certyfikat uczestnictwa (w pdf)  

O prowadzącym: 

Marek Rzepecki - Pasjonat tematyki cyberbezpieczeństwa. Od blisko pięciu lat, kosultant ds. bezpieczeństwa w Securitum. Zrealizował ponad 250 niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz ataków DDoS dla polskich oraz zagranicznych firm. Prowadzi szkolenia z tematyki bezpieczeństwa aplikacji mobilnych, aplikacji webowych oraz cyber awareness. Autor rozdziałów poświęconych bezpieczeństwu aplikacji mobilnych, w książce Sekuraka. 
Prelegent na konferencjach branżowych: Confidence (2019), Mega Sekurak Hacking Party (2019, 2020, 2022). W wolnym czasie, uczestnik programów Bug Bounty.
Posiadacz certyfikatu OSCP (Offensive Security Certified Professional).

Poziom zaawansowania:grade grade grade

Prowadzący: Marek Rzepecki

18.09.2023

599,00 zł netto + 23% VAT
736,77 zł brutto