行動應用程式安全防護實務

由講師講解的訓練課程

概覽

這門總長 32 小時的課程,旨在提供參與者評估 Android 和 iOS 行動應用程式安全性的基礎知識和實用技能。每個單元都包含實作實驗室,搭配根據實際安全漏洞量身打造的獨特情境和練習,讓參與者運用所學,有效找出並瞭解行動裝置安全性風險。

必備條件:參與者必須具備下列技術技能:

  • 熟悉 Linux CLI
  • 物件導向程式設計基礎知識
  • 網頁應用程式測試經驗

雖非必要,但具備以下技能有助於學習:

  • 熟悉 ARM/AARCH64 組合語言
  • Java、Kotlin、Swift 或 Objective-C 程式設計經驗
  • 具備複雜型用戶端應用程式測試經驗
  • 具備網路服務 (REST、SOAP、JSON) 測試經驗

課程目標

完成本課程後,參與者應能掌握以下技能:

  • 全面的行動應用程式測試能力:無論做為興趣還是專業,參與者都能夠測試實際應用程式。包括從行動裝置下載應用程式進行分析,以及克服常見的安全性障礙,例如越獄/root 偵測、憑證綁定和本機儲存空間加密。
  • 熟悉業界標準和新型工具:參與者將能使用 Corellium 管理裝置、大量運用 Frida 在執行階段操控行動應用程式,並結合其他各種工具和技巧完成行動應用程式評估。此外,參加者還能利用所學知識與能力,自行建構和使用測試環境,以滿足測試需求。
  • 靜態分析和反向工程技巧:參與只將學習高效率工作流程,以及靜態分析與逆向工程技巧。本課程將介紹 Android APK 檔案和 iOS IPA 檔案的結構與內容,以及逆向工程 Dalvik 位元碼、Objective-C 和 Swift 組合語言 (ARM)。這些核心技能可用於評估本地資料儲存機制、處理序間通訊、平台使用情形,並結合 Frida 補充動態檢測功能。
  • 處理序間通訊 (IPC) 評估技巧:參與者將學會如何有效分析及測試 Android 和 iOS 常用的 IPC 機制。其中包括識別暴露的元件 (例如 Activities、Content Providers 或 URL Schemes),並使用專門工具與這些元件互動,同時透過模糊測試與目標分析技巧,找出資料外洩或未經授權的動作等潛在安全漏洞。

課程目標對象

「行動應用程式安全防護實務」是步調快速的技術課程,旨在讓參與者實際體驗行動應用程式的評估過程。本課程內容適合具備資安基礎知識、威脅模型建構、物件導向程式設計背景,以及有限組合語言 (ARM) 經驗的參與者。這堂課能為安全防護工程師、應用程式開發人員和滲透測試人員能從帶來最多收穫。

運作方式

授課方式

由講師講解的現場訓練課程

持續時間

  • 4 天 (現場授課)
  • 5 天 (線上授課)


裝置需求

參與者應攜帶自己的筆記型電腦,並將所選瀏覽器更新至最新版本,同時連上網際網路。參與者將收到課程教材,且可在課程期間存取測試環境。

展開下一步行動

立即聯絡 Mandiant Academy,以瞭解詳情並安排課程。