Poziom zaawansowania:
Prowadzący:
Michał Bentkowski
Miejsce i data:
- Warszawa: 11.05.2020
Cena:
1150 PLN netto
(1 dzień)
O szkoleniu
Jednodniowe szkolenie w formie prezentacyjnej, na którym zaprezentujemy najczęściej występujące podatności w aplikacjach mobilnych i omówimy metodyki testowania. Pokażemy też na żywo w jaki sposób podchodzi się do testowania aplikacji mobilnych i jak radzić sobie z typowymi problemami podczas testów.
Ramowy program szkolenia
Wstęp
- Omówienie modelu bezpieczeństwa aplikacji mobilnych na platformach iOS i Android,
- Porównanie testowania aplikacji mobilnych do aplikacji webowych.
Sposób testowania aplikacji mobilnych
- Omówienie metodyk przeprowadzenia testów aplikacji mobilnych (Mobile ASVS, Mobile TOP 10),
- Testowanie na żywym telefonie vs na emulatorze/symulatorze
- Kilka słów o root/jailbreak,
Statyczna analiza aplikacji
- Wykorzystanie dekompilatorów i disassemblerów,
- Analiza plików typu manifest i plist,
- Statyczna analiza kodu.
Dynamiczna analiza aplikacji
- Wykorzystanie debuggerów i narzędzi do instrumentacji
Zmiana sposobu działania aplikacji mobilnych
- Sposób przez przebudowanie plików binarnych aplikacji,
- Dynamiczna podmiana działania aplikacji z użyciem narzędzi typu frida lub cycript.
6. Typowe podatności aplikacji mobilnych
- Przechowywanie poufnych danych na urządzeniu mobilnym,
- Błędy kryptografii,
- Błędy w mechanizmach komunikacji międzyprocesowej,
- Niewłaściwe szyfrowanie lub błędne sprawdzanie certyfikatów w warstwie transportu,
- Problemy elementów WebView i aplikacji hybrydowych,
Kilka słów o obfuskacji danych i kodu.
Przykłady podatności samych platform mobilnych.
Podsumowanie szkolenia.
Pozostałe informacje
Do szkolenia nie jest wymagana wstępna wiedza.
Szkolenie prowadzone w formie prezentacji.
Po szkoleniu uczestnicy otrzymają:
- Cheat sheety do narzędzi prezentowanych na szkoleniu,
- Maszynę wirtualną zawierająca zainstalowane narzędzia prezentowane na szkoleniu,
- Zadania domowe do wykonania.
Cena szkolenia
Cena jednodniowego szkolenia wynosi 1150 PLN netto / osobę i zawiera:
- Udział w szkoleniu.
- Obiad
- Dostępne w trakcie szkolenia: kawa, herbata, woda, ciasteczka.
- Certyfikat ukończenia szkolenia.
- Materiały i zadania.
Formularz zgłoszeniowy
Wypełnij formularz, aby zapisać się na szkolenie.
Prowadzący: Michał Bentkowski
- Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum
- Uczestnik programów bug bounty
- Wysokie miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs – zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD.
- Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).
- Ponad 6 lat doświadczenia w testowaniu aplikacji mobilnych i webowych
- Prelegent na konferencjach: Mega SHP (2019), KrakYourNet (2016), OWASP@Kraków (2015), 4Developers (2016), Confidence (2018)
- Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.