Poziom zaawansowania:
Prowadzący: Michał Bentkowski
Miejsce i data:
  • Warszawa: 27-28.11.2017
Cena: 1950 PLN netto (2 dni)

Dwudniowe szkolenie warsztatowe umożliwia praktyczne poznanie tematyki bezpieczeństwa aplikacji mobilnych. Na szkoleniu prezentujemy elementy związane z platformami Android oraz iOS. Na warsztatach można zapoznać się z częstymi problemami bezpieczeństwa występującymi podczas tworzenia / testowania aplikacji. Wskazane zostaną również skuteczne metody ochrony przed zagrożeniami.

Ramowy program szkolenia

1. Wstęp
a. Omówienie modelu bezpieczeństwa w urządzeniach mobilnych na platformach iOS oraz Android:
   i. Omówienie modelu dystrybucji aplikacji,
   ii. Omówienie sposobów przechowywania poufnych danych na urządzeniu,
   iii. Omówienie separacji aplikacji i innych mechanizmów bezpieczeństwa stosowanych w urządzeniach mobilnych.
b. Testowanie bezpieczeństwa aplikacji mobilnych vs aplikacji webowych.
2. Aplikacje mobilne – jak testować?
a. Omówienie metodyk prowadzenia testów bezpieczeństwa aplikacji mobilnych (OWASP Mobile TOP 10),
b. Zaprezentowanie przykładowego raportu z testów aplikacji mobilnych,
c. Kilka słów o root/jailbreak,
3. Narzędzia wspomagające przeprowadzanie testów
a. Dekompilatory,
b. Debuggery,
c. Narzędzia pozwalające na manipulację obiektami,
d. Automatyczne wspomaganie testów,
e. IDE deweloperskie i rekompilacja aplikacji.
4. Typowe „problemy” przy testowaniu aplikacji mobilnych
a. Omijanie sprawdzenia czy urządzenie jest zrootowane/jailbreakowane,
b. Omijanie przypinania certyfikatów (certificate pinning).
5. Typowe problemy aplikacji mobilnych
a. Pozostawianie wrażliwych danych na urządzeniu mobilnym,
b. Błędy w algorytmach szyfrowania,
c. Logika aplikacji wyłącznie po stronie urządzenia mobilnego,
d. Problemy autoryzacji i zarządzania sesją,
e. Cross-Site Scripting (np. w komponentach WebView).
6. Szybki kurs podatności backendowych
a. SQL Injection,
b. Błędy XML-i (XXE, XML Bomb),
c. Path Traversal,
d. OS Command Injection.
7. Podsumowanie szkolenia na LAB-ie
a. Wykrycie kilka klas podatności w aplikacji,
b. Samodzielne omijanie zabezpieczeń w aplikacji

Pozostałe informacje

Do szkolenia wymagany jest laptop oraz urządzenia mobilne Android i iOS. W celu wykonania wszystkich ćwiczeń, niezbędne jest posiadanie uprawnień roota zarówno na urządzeniu Android, jak i iOS. Szkolenie odbywa się w formule BYOD (bring your own device), jednak w razie potrzeby istnieje możliwość dostarczenia naszego urządzenia mobilnego.

Cena szkolenia

Cena dwudniowego szkolenia wynosi 1950 PLN netto / osobę i zawiera:

  • Udział w szkoleniu.
  • Obiad w trakcie każdego dnia trwania szkolenia.
  • Dostępne w trakcie szkolenia: kawa, herbata, woda, ciasteczka.
  • Certyfikat ukończenia szkolenia.
  • Przekazanie w formie PDF rozwiązań ćwiczeń.

Formularz zgłoszeniowy

Wypełnij formularz, aby zapisać się na szkolenie.

Prowadzący: Michał Bentkowski

  • Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum
  • Uczestnik programów bug bounty
  • 11 miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs – zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD.
  • Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).
  • Ponad 5 lat doświadczenia w testowaniu aplikacji mobilnych i webowych
  • Prelegent na konferencjach: KrakYourNet (2016), OWASP@Kraków (2015), 4Developers (2016)
  • Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.