实用的移动应用安全保障课程

本课程为期四天，旨在向学生讲授适用于 Google Android 和 Apple iOS 移动操作系统的移动应用安全保障基础知识。其中将介绍评估移动应用安全性的方法、工具和经验。

前提条件：具备安全基础知识、威胁建模、Linux CLI、面向对象编程和 Web 应用测试的相关背景。推荐，并非强制要求：

• 熟悉 ARM/AArch64 汇编语言
• 拥有 Java、Kotlin、Swift 或 Objective-C 编程经验
• 拥有测试厚客户端应用的经验
• 拥有 Web 服务（REST、SOAP、JSON）测试经验

完成本课程后，学员应该能够：

• 描述 Android 和 iOS 操作系统的设备和应用安全模型及其安全功能
• 了解如何越狱、获取 root 权限及其他概念，为 Android 和 iOS 平台构建并配置测试环境
• 在涵盖 Android Dalvik 字节码和 Apple 编译的 Swift 和 Objective-C 汇编语言实操实验环境中对 APK 和 IPA 文件执行静态分析
• 了解应该存储什么数据、在哪里存储数据、如何访问数据，以及与数据存储不当相关的隐患
• 通过在两个平台上与公开组件交互并进行模糊测试，分析进程间通信
• 通过可靠地拦截和修改网络通信来绕过证书固定等安全功能，同时考虑移动应用 API 测试和传统 Web 应用评估的相似之处和差异
• 使用常用的动态二进制插桩 (DBI) 工具在各场景（例如，绕过越狱/根检测或证书固定）中进行应用测试以及数据和代码分析
• 破解测试应用，枚举尽可能多的漏洞，并考虑关于提升应用安全性的建议

安全工程师、应用开发者和渗透测试人员。

讲师主导的线下培训

4 天