Tổng quan

Khoá học Đánh giá bảo mật ứng dụng di động cung cấp cho học viên kiến thức về an toàn trong kiến trúc hệ điều hành thiết bị di động. Đồng thời cung cấp cho người học những kỹ năng về phân tích, dịch ngược mã nguồn ứng dụng trên nền tảng phổ dụng như Android, iOS.

Thời lượng

40 giờ (05 ngày)

Mục tiêu khóa học

Sau khi hoàn tất khóa học, người học sẽ có những kiến thức và kỹ năng như sau:

• Nắm vững quy trình đánh giá bảo mật ứng dụng di động trên nền tảng hệ điều hành Android và iOS.
• Hiểu rõ cơ chế bảo mật trong hoạt động thiết bị thông minh và ứng dụng di động.
• Giảm thiểu các lỗ hổng xảy ra trong quá trình phát triển ứng dụng
• Quy trình, kỹ thuật phân tích tĩnh, phân tích động.

Điều kiện tiên quyết

Khoá học dành cho học viên có nhu cầu phân tích bảo mật ứng dụng di động trong công việc hàng ngày, học viên có đam mê trong lĩnh vực phân tích bảo mật, lập trình viên ứng dụng…. Một số yêu cầu trong về kiến thức trong chương trình đào tạo.

• Có kiến thức cơ bản về kiến trúc hệ điều hành.
• Có kỹ năng sử dụng thiết bị di động thông minh và các ứng dụng trên các nền tảng hệ điều hành.
• Có kiến thức về lập trình Java, lập trình ứng dụng di động cơ bản.

Nội dung khóa học

Chương  1: Mobile Devices Overview

• Mobile Platforms
• Android
• iOS
• OWASP Top 10 Mobile Risks
• Physical Security
• Poor Keyboards
• User Profiles
• Web Browsing
• Malwares
• Patching and Updating

Chương  2: Mobile OS Architectures & Security Models

2.1. Android

• Android Architecture
• Android Security Models
• Rooting Devices

2.2. iOS

• iOS Architecture
• iOS Security Models
• Jailbreaking Devices

Chương  3: Android: Setting up a test environment

3.1. Android SDK

• Windows OS
• Linux OS

3.2. Eclipse IDE

3.3. AVD and Actual Devices

3.4. Interact with the Devices

• Android Debug Bridge
• Install and Run Custom Application
• BusyBox
• SSH
• VNC

Chương  4: iOS: Setting up a test environment

4.1. iOS SDK

4.2. iOS Simulator and Xcode Limitations

4.3. File System and Device Interaction

4.4. Backups

4.5. Interact with Jailbroken Devices

Chương  5: Android: Reverse Engineering & Static Analysis

5.1. Decompiling and Disassembling .apk files

5.2. Smali

5.3. Decompile .apk to .jar files

5.4. From .jar to Source Code

5.5. Decompiling/Disassembling Overview

5.6. Patching Binaries

Chương  6: iOS: Reverse Engineering & Static Analysis

6.1. ipa and .App files

6.2. Plist

6.3. Decompiling iOS Apps: Otools

6.4. Decompiling iOS Apps: class-dump

6.5. Decompiling iOS Apps: IDA

6.6. LAB: Locating Information

6.8. Patching iOS Apps – Simulator

Chương  7: Android: Dynamic/Runtime Analysis

7.1. Debugging

7.2. LogCat

7.3. DDMS

7.4. Memory Analysis

7.5. IPC Mechanisms and App Components

• Intents
• Android Tools
• Content Providers

SQL Injection

Directory Traversal

• SharedUID

Chương  8: iOS: Dynamic/Runtime Analysis

8.1. Manually Decrypt Applications Binaries

8.2. Decrypt Applications Binaries: Clutch

8.3. Runtime Manipulation

8.4. GDB

Chương  9: Android: Network Analysis

9.1. Traffic Sniffing

9.2. Proxying Emulators and Actual Devices

9.3. Intercept Application and SSL Traffic

9.4. Traffic Manipulation

Chương  10: iOS: Network Analysis

10.1. Traffic Sniffing

10.2. Proxying Simulators and Actual Devices

10.3. Proxying and Intercepting SSL

10.4. Traffic:Charles

10.4. Proxying and Intercepting SSL Traffic: Burp

10.5. SSL Traffic on Actual Devices