实用的移动应用安全保障课程

讲师主导的培训课程

快速浏览

本课程时长为 32 小时,旨在为学员提供评估 Android 和 iOS 移动应用安全性的基础知识和实用技能。学员将通过每个单元的实操实验学习,这些实验基于真实漏洞量身定制,包含独特的场景和练习,让学员能够有效识别和了解移动安全风险。

前提条件:学员必须具备以下技术技能:

  • 熟悉 Linux CLI
  • 面向对象的编程基础
  • Web 应用测试经验

建议具备以下技能,但并非课程的必备条件:

  • 熟悉 ARM/AARCH64 汇编语言
  • 拥有 Java、Kotlin、Swift 或 Objective-C 编程经验
  • 拥有测试厚客户端应用的经验
  • 拥有 Web 服务(REST、SOAP、JSON)测试经验

课程目标

完成本课程后,学员应该能够了解:

  • 全面的移动应用测试能力:学完本课程后,学员将能够测试真实应用,并将测试作为一项爱好或专业技能。其中包括能够从移动设备下载应用以供分析,以及克服常见安全障碍,例如越狱/root 检测、证书固定和本地存储加密。
  • 熟悉业界标准和现代工具:学员将能够使用 Corellium 来管理设备、广泛使用 Frida 在运行时操纵移动应用,并结合其他各种工具和技术来完成移动应用评估。学员还将获得相关知识和能力,以构建和使用自己的测试环境来满足测试需求。
  • 静态分析和逆向工程技术:学员将学习有效的静态分析和逆向工程的工作流和技术。本课程将介绍 Android APK 文件和 iOS IPA 文件的结构和内容,以及逆向工程 Dalvik 字节码、Objective-C 和 Swift 汇编 (ARM)。这些关键技能将使学员能够评估本地数据存储机制、进程间通信、平台使用情况,并使用 Frida 补充动态插桩。
  • 进程间通信 (IPC) 评估技术:学员将学会在 Android 和 iOS 上有效分析和测试常见 IPC 机制。其中包括识别暴露的组件(如 Activity、Content Provider 或 URL Scheme)、使用专用工具与这些组件建立接口,以及通过模糊测试和有针对性的分析技术发现潜在漏洞,例如数据泄露或未经授权的操作。

课程受众

PMAS(实用移动应用安全保障)是一门快节奏技术课程,旨在为学员提供评估移动应用的真实体验。本课程面向具备安全基础知识、威胁建模、面向对象的编程和有限的汇编 (ARM) 经验的学员。安全工程师、应用开发者和渗透测试人员将从中受益最多。

运作方式

授课方式

讲师主导的线下培训

时长

  • 4 天(线下授课)
  • 5 天(线上授课)


携带物品

学员应自带笔记本电脑,该笔记本电脑安装了所选择的最新浏览器并能够连接到互联网。学员将收到课程材料,并在课程期间获得测试环境的访问权限。

更进一步

立即联系 Mandiant Academy 了解详情并计划您的课程。