Waarom deze training?
- Kennis opdoen over de instellingen van de Android- en iOS-architectuur
- Kennis opdoen van beveiligingsconcepten en methoden voor het beschermen van mobiele applicaties
- Maak een basistoolbox om daadwerkelijke beveiligingstests van dummy mobiele applicaties uit te voeren
- Basisbeveiligingstesten voor mobiele applicaties kunnen uitvoeren na de cursus
- Leer verschillende mobiele applicatie-aanvallen uit te voeren, zoals MitM, en applicatiegegevens te wijzigen
- Leer beveiligingszwakheden in cryptografie te identificeren
- Leer om bestandssysteemanalyses uit te voeren
- Krijg toegang tot meerdere bronnen om uw vaardigheden verder te ontwikkelen
Dit is een zeer interactieve training met veel oefeningen en demonstraties ter ondersteuning van effectief leren.
Doelgroep
Deze training is bedoeld voor:
- Mobiele applicatie-ontwikkelaars
- Pentesters
- Mobiele applicatietesters
- Software-ingenieurs
- Technisch personeel dat betrokken is bij het veiligheidsbeheer
Vereiste vaardigheden & expertise
Technische achtergrond en expertise is vereist voor deze cursus, omdat de training diepgaande technische concepten beschrijft en de uitvoering van verschillende scripts vereist. Programmeerervaring is niet vereist, maar is wel nuttig. Ervaring met de Linux commandoregel is een pluspunt.
Programma
De Mobile Security training bestaat uit twee dagen. De eerste dag is gericht op Android en de tweede dag op iOS. We vertrekken vanuit een theoretisch perspectief met praktische oefeningen in elke namiddag, zodat u naar huis gaat met een toolbox en praktijkervaring.
Dag 1 - Android
General Mobile Security (MASVS Framework)
- Key Areas according to OWASP MASVS
- General information about MASVS and its levels
- Architecture and Design (V1)
- Data Storage and Privacy (V2)
- Cryptography (V3)
- Authentication and Authorization (V4)
- Network Communication (V5)
- Interaction with the mobile platform(V6)
- Code quality and exploit mitigation (V7)
- Anti-Tampering and anti-reversing (R)
- Mobile application taxonomy
Android platform internals
- General information & Platform architecture
- Java applications vs Android applications
- Dalvik / Android runtime
- Users, permissions, file structure
- Security features in Android
- What is new in the Android security features
- Application components
Methods and tooling
- Physical device vs Emulator
- Emulator configuration
- Tooling & Test setup
- Automated tools
Workshop: Secura InsecureShop
- Reconnaissance and APK analysis
- How to identify Security Vulnerabilities?
- Root detection bypass
- Analyzing network traffic and crypto implementation
- Reverse Engineering to circumvent Certificate Pinning
- Testing application components (Content Providers, Activities, etc.)
How to perform a mobile Android application assessment?
- Guidelines and best practices to perform a security assessment.
Dag 2 - iOS
iOS platform internals
- Platform architecture
- Application runtime
- Users, permissions, file structure
- Application folder structure
- Application fundamentals
- Inter-app communication (IPC)
- New security features in iOS
Security features and flaws
- Apple iOS security features
- Secure Boot
- Secure enclave
- Touch ID
- Face ID
- File data protection
- Apple iOS security flaws
- Jailbreaking
Application Fundamentals
- App development & languages
- iPA format
- iOS privilege model
- Security Consideration
Methods and tooling
- Simulator
- Tooling
- Test setup
Demo: iOS file system analysis
- Demonstration of how to analyse the file system with concrete examples
Demo: iOS application testing
- Cover the security testing of a vulnerable iOS application
Dag 1
Dag 2
Interesse?
Als u geïnteresseerd bent in het verzorgen van deze training voor uw bedrijf, neem dan contact met ons op via ons contactformulier, telefonisch +31 (0)88 888 31 00 of e-mail info@secura.com.
