Poziom zaawansowania:
Prowadzący: Michał Bentkowski
Miejsce i data:
  • zdalne: 09.11.2020
  • zdalny: 16.12.2020
Cena: 1150 PLN netto (1 dzień)

Uwaga: szkolenie prowadzone w wersji zdalnej.

O szkoleniu

Jednodniowe szkolenie w formie prezentacyjnej, na którym zaprezentujemy najczęściej występujące podatności w aplikacjach mobilnych i omówimy metodyki testowania. Pokażemy też na żywo w jaki sposób podchodzi się do testowania aplikacji mobilnych i jak radzić sobie z typowymi problemami podczas testów.

Ramowy program szkolenia

Wstęp

  • Omówienie modelu bezpieczeństwa aplikacji mobilnych na platformach iOS i Android,
  • Porównanie testowania aplikacji mobilnych do aplikacji webowych.

Sposób testowania aplikacji mobilnych

  • Omówienie metodyk przeprowadzenia testów aplikacji mobilnych (Mobile ASVS, Mobile TOP 10),
  • Testowanie na żywym telefonie vs na emulatorze/symulatorze
  • Kilka słów o root/jailbreak,

Statyczna analiza aplikacji

  • Wykorzystanie dekompilatorów i disassemblerów,
  • Analiza plików typu manifest i plist,
  • Statyczna analiza kodu.

Dynamiczna analiza aplikacji

  • Wykorzystanie debuggerów i narzędzi do instrumentacji

Zmiana sposobu działania aplikacji mobilnych

  • Sposób przez przebudowanie plików binarnych aplikacji,
  • Dynamiczna podmiana działania aplikacji z użyciem narzędzi typu frida lub cycript.

6. Typowe podatności aplikacji mobilnych

  • Przechowywanie poufnych danych na urządzeniu mobilnym,
  • Błędy kryptografii,
  • Błędy w mechanizmach komunikacji międzyprocesowej,
  • Niewłaściwe szyfrowanie lub błędne sprawdzanie certyfikatów w warstwie transportu,
  • Problemy elementów WebView i aplikacji hybrydowych,

Kilka słów o obfuskacji danych i kodu.

Przykłady podatności samych platform mobilnych.

Podsumowanie szkolenia.

Pozostałe informacje

Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia.

Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnymi przeglądarką, stabilny internet i słuchawki z mikrofonem.

Do szkolenia nie jest wymagana wstępna wiedza.

Szkolenie prowadzone w formie prezentacji.

Po szkoleniu uczestnicy otrzymają:

  • Cheat sheety do narzędzi prezentowanych na szkoleniu,
  • Maszynę wirtualną zawierająca zainstalowane narzędzia prezentowane na szkoleniu,
  • Zadania domowe do wykonania.

Cena szkolenia

Cena katalogowa jednodniowego szkolenia wynosi 1150 PLN netto / osobę i zawiera:

  • Udział w szkoleniu i dostęp do platformy szkoleniowej.
  • Certyfikat ukończenia szkolenia (PDF).
  • Materiały i zadania.

Formularz zgłoszeniowy

Wypełnij formularz, aby zapisać się na szkolenie.

Zapisz się na szkolenie

Prowadzący: Michał Bentkowski

  • Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum
  • Uczestnik programów bug bounty
  • Wysokie miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs – zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD.
  • Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).
  • Ponad 7 lat doświadczenia w testowaniu aplikacji mobilnych i webowych
  • Współautor książki „Bezpieczeństwo aplikacji webowych”
  • Prelegent na konferencjach: MEGA SHP (2019), Confidence (2019, 2018), SEMAFOR (2019), SECURE (2019, 2018), WTH (2019), KrakYourNet (2016), 4Developers (2016), OWASP@Kraków (2015)
  • Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.