Interesuje Cię bezpieczeństwo aplikacji androidowych? Zapraszamy na szkolenie sekuraka (kod -20%)

08 marca 2021, 14:32 | Aktualności | 0 komentarzy
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Szkolenie prowadzi Tomek Zieliński (aka informatykzakladowy), sam pisze tak:

(…) szkolenie Sekuraka, na którym opowiem o sekretach bezpieczeństwa aplikacji androidowych. Dobra, to nie są żadne sekrety. To po prostu gromadzona latami wiedza – Androida zacząłem programować jeszcze w roku 2009, potem przez wiele lat była to moja główna specjalizacja zawodowa.

Zaczniemy od zajrzenia do środka wybranej aplikacji i poznania sposobu jej działania. Objaśnię, dlaczego w testach tego typu warto użyć… najstarszej możliwej wersji systemu oraz czemu nie obejdziesz się bez zrootowanego urządzenia. Podsłuchamy komunikację sieciową, poszukamy miejsc do wstrzyknięcia kodu – przekonamy się też, że czasem sekrety lecą prosto do logcata. Podczas pokazu dostępny będzie kanał zwrotny – abym mógł odpowiadać na wasze pytania dotyczące prezentowanych technik.

Całość prowadzona będzie w formie on-line (dostępne będzie również przez miesiąc nagranie całego materiału). Rozpoczęcie: 15.03.2021r., godzina 10:00. Zakończenie – około 14:00.

Rejestrując się z kodem sekurak-zakladowy, otrzymasz -20% ceny od ceny standard

Agenda

  1. Wprowadzenie do szkolenia, omówienie planowanego zakresu
  2. Demonstracja analizy podatności przykładowej aplikacji
    1. rozpakowanie pliku APK
    2. inspekcja manifestu i zasobów aplikacji
    3. dekompilacja SMALI do kodu Javy
    4. przepuszczanie ruchu przez proxy na PC
    5. analiza zawartości logcata
    6. założenie hooków na wybranych metodach
  3. Krótkie omówienie materiałów pomagających w ocenie ryzyka i testowaniu bezpieczeństwa aplikacji
    1. OWASP Mobile Security Testing Guide (MSTG)
    2. OWASP Mobile App Security Requirements and Verification (MASVS)
  4. Omówienie najczęściej spotykanych problemów bezpieczeństwa wraz z przykładami
    1. niezabezpieczone połączenia sieciowe
    2. wyciek sekretów przez IPC
    3. wyciek danych i ataki poprzez Webview
    4. brak weryfikacji danych zewnętrznych
    5. wyciek informacji przez logcata
    6. nadmiarowa zawartość pakietu APK
    7. obecność kodu debugowego w kompilacji release
    8. błędne użycie funkcji platformy Android
    9. uniwersalne wektory ataku (np. regex bomb, ZIP path traversal)
  5. Metody obrony
    1. obfuskowanie kodu
    2. bajtkod / kod natywny / Xamarin / React Native
    3. pinning kluczy / certyfikatów
    4. fingerprinting / SafetyNet Attestation API
    5. secure element
    6. wykrywanie roota

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz