Mobile Application Hacking Training

Mobile Application Hacking Training

Het hacken van mobiele apps is een uitstekende manier om een eerste stap te zetten om toegang te krijgen tot kritieke informatie en het hacken van de achterkant van de app. Leer hoe je beveiligingsfouten kunt identificeren in iOS- en Android-apps om kosten te verminderen door vroeg beveiligingsfuncties te implementeren.

Waarom deelnemen?

• Kennis opdoen van de architectuur van Android en iOS
• Kennis opdoen van beveiligingsconcepten en methoden om mobiele apps te beschermen
• Een basisgereedschapskist creëren om daadwerkelijke beveiligingstests uit te voeren op dummy mobiele apps
• In staat zijn om basisbeveiligingstests voor mobiele apps uit te voeren na de cursus
• Leren om verschillende aanvallen op mobiele apps uit te voeren, zoals MitM en het wijzigen van app-gegevens
• Leren om beveiligingszwaktes in cryptografie te identificeren
• Leren om bestandssysteemanalyse uit te voeren
• Toegang krijgen tot meerdere bronnen om uw vaardigheden verder te ontwikkelen

Dit is een zeer interactieve trainingscursus met veel oefeningen en demonstraties om effectief leren te ondersteunen.

Doelgroep

Deze training is geschikt voor:

• Mobiele applicatieontwikkelaars
• Pentesters
• Mobiele applicatietesters
• Software-ingenieurs
• Technisch personeel betrokken bij beveiligingsbeheer

Vereiste vaardigheden en expertise

Technische achtergrond en expertise zijn vereist voor deze cursus, aangezien de training diepgaande technische concepten zal beschrijven en de uitvoering van verschillende scripts vereist. Programmeerervaring is niet vereist, maar wel handig. Ervaring met de Linux-opdrachtregel is een pluspunt.

Programma

De Mobile Security-trainingscursus bestaat uit twee dagen. De eerste dag is gericht op Android en de tweede dag op iOS. We beginnen vanuit een theoretisch perspectief met praktische oefeningen in elke middag, zodat u naar huis gaat met een gereedschapskist en praktische ervaring.

Dag 1 - Android

Algemene mobiele beveiliging (MASVS Framework)

• Belangrijke gebieden volgens OWASP MASVS
• Algemene informatie over MASVS en de niveaus ervan
• Architectuur en ontwerp (V1)
• Gegevensopslag en privacy (V2)
• Cryptografie (V3)
• Authenticatie en autorisatie (V4)
• Netwerkcommunicatie (V5)
• Interactie met het mobiele platform (V6)
• Codekwaliteit en exploit mitigatie (V7)
• Anti-tampering en anti-reversing (R)
• Taxonomie van mobiele applicaties

Interne structuur van het Android-platform

• Algemene informatie en platformarchitectuur
• Java-toepassingen vs Android-toepassingen
• Dalvik / Android-runtime
• Gebruikers, machtigingen, bestandsstructuur
• Beveiligingsfuncties in Android
• Wat is er nieuw in de beveiligingsfuncties van Android
• Toepassingscomponenten

Methoden en hulpmiddelen

• Fysiek apparaat vs Emulator
• Emulatorconfiguratie
• Hulpmiddelen en testschema
• Geautomatiseerde tools

Workshop: Secura InsecureShop

• Verkenning en APK-analyse
• Hoe identificeer je beveiligingskwetsbaarheden?
• Omzeilen van rootdetectie
• Analyse van netwerkverkeer en cryptografie-implementatie
• Reverse Engineering om certificaatpennen te omzeilen
• Testen van toepassingscomponenten (Content Providers, Activiteiten, enz.)

Hoe voer je een beveiligingsbeoordeling uit van een mobiele Android-applicatie?

• Richtlijnen en best practices om een beveiligingsbeoordeling uit te voeren.

Dag 2 - iOS

Interne structuur van het iOS-platform

• Platformarchitectuur
• Applicatieruntime
• Gebruikers, machtigingen, bestandsstructuur
• Structuur van app-mappen
• Fundamenten van de applicatie
• Inter-app communicatie (IPC)
• Nieuwe beveiligingsfuncties in iOS

Beveiligingsfuncties en tekortkomingen

• Beveiligingsfuncties van Apple iOS
• Veilige opstart
• Veilige enclave
• Touch ID
• Face ID
• Bestandsgegevensbeveiliging
• Tekortkomingen in de beveiliging van Apple iOS
• Jailbreaking

Fundamenten van de App

• App-ontwikkeling & talen
• iPA-indeling
• Privilegemodel van iOS
• Veiligheidsoverwegingen

Methoden en hulpmiddelen

• Simulator
• Hulpmiddelen
• Testschema

Demo: Analyse van het bestandssysteem van iOS

• Demonstratie van hoe het bestandssysteem kan worden geanalyseerd met concrete voorbeelden

Demo: Testen van iOS-applicaties

• Beveiligingstesten van een kwetsbare iOS-applicatie behandelen