实用的移动应用安全保障课程

本课程时长为 32 小时，旨在为学员提供评估 Android 和 iOS 移动应用安全性的基础知识和实用技能。学员将通过每个单元的实操实验学习，这些实验基于真实漏洞量身定制，包含独特的场景和练习，让学员能够有效识别和了解移动安全风险。

前提条件：学员必须具备以下技术技能：

• 熟悉 Linux CLI
• 面向对象的编程基础
• Web 应用测试经验

建议具备以下技能，但并非课程的必备条件：

• 熟悉 ARM/AARCH64 汇编语言
• 拥有 Java、Kotlin、Swift 或 Objective-C 编程经验
• 拥有测试厚客户端应用的经验
• 拥有 Web 服务（REST、SOAP、JSON）测试经验

完成本课程后，学员应该能够了解：

• 全面的移动应用测试能力：学完本课程后，学员将能够测试真实应用，并将测试作为一项爱好或专业技能。其中包括能够从移动设备下载应用以供分析，以及克服常见安全障碍，例如越狱/root 检测、证书固定和本地存储加密。
• 熟悉业界标准和现代工具：学员将能够使用 Corellium 来管理设备、广泛使用 Frida 在运行时操纵移动应用，并结合其他各种工具和技术来完成移动应用评估。学员还将获得相关知识和能力，以构建和使用自己的测试环境来满足测试需求。
• 静态分析和逆向工程技术：学员将学习有效的静态分析和逆向工程的工作流和技术。本课程将介绍 Android APK 文件和 iOS IPA 文件的结构和内容，以及逆向工程 Dalvik 字节码、Objective-C 和 Swift 汇编 (ARM)。这些关键技能将使学员能够评估本地数据存储机制、进程间通信、平台使用情况，并使用 Frida 补充动态插桩。
• 进程间通信 (IPC) 评估技术：学员将学会在 Android 和 iOS 上有效分析和测试常见 IPC 机制。其中包括识别暴露的组件（如 Activity、Content Provider 或 URL Scheme）、使用专用工具与这些组件建立接口，以及通过模糊测试和有针对性的分析技术发现潜在漏洞，例如数据泄露或未经授权的操作。

PMAS（实用移动应用安全保障）是一门快节奏技术课程，旨在为学员提供评估移动应用的真实体验。本课程面向具备安全基础知识、威胁建模、面向对象的编程和有限的汇编 (ARM) 经验的学员。安全工程师、应用开发者和渗透测试人员将从中受益最多。

讲师主导的线下培训

• 4 天（线下授课）
• 5 天（线上授课）

学员应自带笔记本电脑，该笔记本电脑安装了所选择的最新浏览器并能够连接到互联网。学员将收到课程材料，并在课程期间获得测试环境的访问权限。