Practical Mobile Application Security

Este curso de cuatro días está diseñado para enseñar a los estudiantes los aspectos básicos de la seguridad de las aplicaciones móviles en los sistemas operativos de Google para dispositivos móviles Android y Apple iOS. Enseña metodología, herramientas y experiencia para evaluar la seguridad de las aplicaciones para dispositivos móviles.

Requisitos: Experiencia en los aspectos básicos de la seguridad, el modelado de amenazas, la CLI de Linux, la programación orientada a objetos y las pruebas de aplicaciones web. Opción recomendada, pero no obligatoria:

• Conocimiento del ensamblaje de ARM/AArch64
• Experiencia en programación en Java, Kotlin, Swift o Objective-C
• Experiencia en la prueba de aplicaciones de cliente pesado
• Experiencia de prueba de servicios web (REST, SOAP, JSON)

Después de completar este curso, los estudiantes deberían poder hacer lo siguiente:

• Describir los modelos de seguridad de dispositivos y aplicaciones para los sistemas operativos iOS y Android, así como sus funciones de seguridad
• Crea y configura un entorno de pruebas para las plataformas Android y iOS con conocimiento de la liberación de jailbreak, los permisos de administrador y otros conceptos
• Realiza análisis estáticos de archivos APK e IPA en un entorno de lab práctico en el que se aborda Android Dalvik Bytecode y el ensamblaje de Swift y Objective-C compilado de Apple
• Comprender qué y dónde se deben almacenar los datos, cómo se debe acceder a ellos y qué dificultades están asociadas al almacenamiento inadecuado de datos
• Analizar la comunicación entre procesos, interactúa con los componentes expuestos y fusionalos entre ambas plataformas
• Interceptar y modificar de forma confiable las comunicaciones de red para evadir las funciones de seguridad, como la fijación de certificados, teniendo en cuenta la superposición y las diferencias en las pruebas de API de aplicaciones para dispositivos móviles y la evaluación de aplicaciones web tradicionales
• Usar herramientas comunes de instrumentación binaria dinámica (DBI) para probar aplicaciones y analizar datos y códigos en situaciones, como la evasión de la detección de jailbreak o raíz, o la fijación de certificados.
• Comprometer una aplicación de prueba, enumerar tantas vulnerabilidades como sea posible y considerar recomendaciones para mejorar la seguridad de la aplicación.

Ingenieros de seguridad, desarrolladores de aplicaciones y verificadores de penetración.

Capacitación presencial dictada por un instructor

4 días