Poziom zaawansowania:
Prowadzący: Michał Bentkowski
Miejsce i data:
  • Warszawa: 16.11.2018
Cena: 1150 PLN netto (1 dzień)

O szkoleniu

Jednodniowe szkolenie w formie prezentacyjnej, na którym zaprezentujemy najczęściej występujące podatności w aplikacjach mobilnych i omówimy metodyki testowania. Pokażemy też na żywo w jaki sposób podchodzi się do testowania aplikacji mobilnych i jak radzić sobie z typowymi problemami podczas testów.

Ramowy program szkolenia

Wstęp

  • Omówienie modelu bezpieczeństwa aplikacji mobilnych na platformach iOS i Android,
  • Porównanie testowania aplikacji mobilnych do aplikacji webowych.

Sposób testowania aplikacji mobilnych

  • Omówienie metodyk przeprowadzenia testów aplikacji mobilnych (Mobile ASVS, Mobile TOP 10),
  • Testowanie na żywym telefonie vs na emulatorze/symulatorze
  • Kilka słów o root/jailbreak,

Statyczna analiza aplikacji

  • Wykorzystanie dekompilatorów i disassemblerów,
  • Analiza plików typu manifest i plist,
  • Statyczna analiza kodu.

Dynamiczna analiza aplikacji

  • Wykorzystanie debuggerów i narzędzi do instrumentacji

Zmiana sposobu działania aplikacji mobilnych

  • Sposób przez przebudowanie plików binarnych aplikacji,
  • Dynamiczna podmiana działania aplikacji z użyciem narzędzi typu frida lub cycript.

6. Typowe podatności aplikacji mobilnych

  • Przechowywanie poufnych danych na urządzeniu mobilnym,
  • Błędy kryptografii,
  • Błędy w mechanizmach komunikacji międzyprocesowej,
  • Niewłaściwe szyfrowanie lub błędne sprawdzanie certyfikatów w warstwie transportu,
  • Problemy elementów WebView i aplikacji hybrydowych,

Kilka słów o obfuskacji danych i kodu.

Przykłady podatności samych platform mobilnych.

Podsumowanie szkolenia.

Pozostałe informacje

Do szkolenia nie jest wymagana wstępna wiedza.

Szkolenie prowadzone w formie prezentacji.

Po szkoleniu uczestnicy otrzymają:

  • Cheat sheety do narzędzi prezentowanych na szkoleniu,
  • Maszynę wirtualną zawierająca zainstalowane narzędzia prezentowane na szkoleniu,
  • Zadania domowe do wykonania.

Cena szkolenia

Cena jednodniowego szkolenia wynosi 1150 PLN netto / osobę i zawiera:

  • Udział w szkoleniu.
  • Obiad
  • Dostępne w trakcie szkolenia: kawa, herbata, woda, ciasteczka.
  • Certyfikat ukończenia szkolenia.
  • Materiały i zadania.

Formularz zgłoszeniowy

Wypełnij formularz, aby zapisać się na szkolenie.

Prowadzący: Michał Bentkowski

  • Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum
  • Uczestnik programów bug bounty
  • 5 miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs – zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD.
  • Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).
  • Ponad 6 lat doświadczenia w testowaniu aplikacji mobilnych i webowych
  • Prelegent na konferencjach: KrakYourNet (2016), OWASP@Kraków (2015), 4Developers (2016), Confidence (2018)
  • Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.