실용적인 모바일 애플리케이션 보안

이 4일 과정은 Google Android 및 Apple iOS 모바일 운영체제의 모바일 애플리케이션 보안에 대한 기본 사항을 교육하기 위해 마련되었습니다. 이 과정에서는 모바일 애플리케이션의 보안을 평가하기 위한 방법론, 툴, 경험에 대해 다룹니다.

선행 조건: 보안 기초, 위협 모델링, Linux CLI, 객체 지향 프로그래밍, 웹 애플리케이션 테스트에 대한 배경 지식 권장(필수는 아님):

• ARM/AArch64 어셈블리 지식
• Java, Kotlin, Swift, Objective-C 프로그래밍 경험
• 씩 클라이언트 애플리케이션 테스트 경험
• 웹 서비스(REST, SOAP, JSON) 테스트 경험

이 강좌를 이수한 학습자는 다음을 수행할 수 있습니다.

• Android 및 iOS 운영 체제와 그 보안 기능을 위한 기기 및 애플리케이션 보안 모델 설명
• 탈옥, 루팅, 기타 개념을 인지하고 Android 및 iOS 플랫폼 모두를 위한 테스트 환경을 구축하고 구성
• Android Dalvik 바이트 코드와 Apple이 컴파일한 Swift 및 Objective-C 어셈블리를 다루는 실무형 실습 환경에서 APK 및 IPA 파일에 대한 정적 분석 수행
• 데이터를 어디에 저장해야 하는지, 어떻게 액세스해야 하는지, 부적절한 데이터 스토리지와 관련된 함정에 대해 이해
• 두 플랫폼에서 노출된 구성요소와 상호작용하고 퍼징하여 프로세스 간 통신 분석
• 모바일 애플리케이션 API 테스트와 기존 웹 애플리케이션 평가의 중복과 차이점을 고려하여 인증서 고정과 같은 보안 기능을 우회하기 위해 네트워크 통신을 안정적으로 가로채고 수정
• 탈옥/루트 탐지 또는 인증서 고정 우회 등의 시나리오에서 애플리케이션 테스트, 데이터 및 코드 분석에 일반적인 동적 바이너리 계측(DBI) 도구 사용
• 테스트 애플리케이션을 침해하고, 최대한 많은 취약점을 열거하고, 애플리케이션 보안 개선을 위한 권장사항 고려

보안 엔지니어, 애플리케이션 개발자, 침투 테스터

오프라인 강사 주도형 교육

4일