行動應用程式安全防護實務

這項為期四天的課程旨在教導學生有關 Google Android 和 Apple iOS 行動作業系統的行動應用程式安全防護基礎知識。本課程將教授評估行動應用程式安全性的方法、工具和經驗。

必備條件：具備安全性基礎知識、威脅模型、Linux CLI、物件導向程式設計和網頁應用程式測試的背景。建議 (非強制性)：

• 熟悉 ARM/AArch64 組件
• 具備 Java、Kotlin、Swift 或 Objective-C 程式設計經驗
• 具備複雜型用戶端應用程式測試經驗
• 具備網路服務 (REST、SOAP、JSON) 測試經驗

完成本課程後，學員應能夠：

• 說明 Android 和 iOS 作業系統的裝置與應用程式安全模式及其安全防護功能
• 為 Android 和 iOS 平台建構及設定測試環境，並瞭解越獄解鎖、解鎖以取得 root 權限以及其他概念
• 在涵蓋 Android Dalvik Bytecode 和 Apple 編譯 Swift 和 Objective-C 組件的實作研究室環境中，對 APK 和 IPA 檔案執行靜態分析
• 瞭解資料的儲存內容和儲存位置、資料的存取方式，以及資料儲存不當會有哪些陷阱
• 透過與兩個平台上的公開元件進行互動和模糊測試來分析程序間通訊
• 穩定攔截及修改網路通訊，藉此繞過安全功能 (例如綁定憑證)，同時將行動應用程式 API 測試和傳統網頁應用程式評估中的重疊和差異納入考量
• 在各種情境下 (例如略過越獄解鎖/解鎖以取得 root 權限偵測或憑證綁定)，使用常見的 Dynamic Binary Instrumentation (DBI) 工具進行應用程式測試與資料和程式碼分析
• 入侵測試應用程式、盡可能列舉所有安全漏洞，並給予提高應用程式安全性的建議考量

安全防護工程師、應用程式開發人員和滲透測試人員。

由講師講解的現場訓練課程

4 天