行動應用程式安全防護實務

這門總長 32 小時的課程，旨在提供參與者評估 Android 和 iOS 行動應用程式安全性的基礎知識和實用技能。每個單元都包含實作實驗室，搭配根據實際安全漏洞量身打造的獨特情境和練習，讓參與者運用所學，有效找出並瞭解行動裝置安全性風險。

必備條件：參與者必須具備下列技術技能：

• 熟悉 Linux CLI
• 物件導向程式設計基礎知識
• 網頁應用程式測試經驗

雖非必要，但具備以下技能有助於學習：

• 熟悉 ARM/AARCH64 組合語言
• Java、Kotlin、Swift 或 Objective-C 程式設計經驗
• 具備複雜型用戶端應用程式測試經驗
• 具備網路服務 (REST、SOAP、JSON) 測試經驗

完成本課程後，參與者應能掌握以下技能：

• 全面的行動應用程式測試能力：無論做為興趣還是專業，參與者都能夠測試實際應用程式。包括從行動裝置下載應用程式進行分析，以及克服常見的安全性障礙，例如越獄/root 偵測、憑證綁定和本機儲存空間加密。
• 熟悉業界標準和新型工具：參與者將能使用 Corellium 管理裝置、大量運用 Frida 在執行階段操控行動應用程式，並結合其他各種工具和技巧完成行動應用程式評估。此外，參加者還能利用所學知識與能力，自行建構和使用測試環境，以滿足測試需求。
• 靜態分析和反向工程技巧：參與只將學習高效率工作流程，以及靜態分析與逆向工程技巧。本課程將介紹 Android APK 檔案和 iOS IPA 檔案的結構與內容，以及逆向工程 Dalvik 位元碼、Objective-C 和 Swift 組合語言 (ARM)。這些核心技能可用於評估本地資料儲存機制、處理序間通訊、平台使用情形，並結合 Frida 補充動態檢測功能。
• 處理序間通訊 (IPC) 評估技巧：參與者將學會如何有效分析及測試 Android 和 iOS 常用的 IPC 機制。其中包括識別暴露的元件 (例如 Activities、Content Providers 或 URL Schemes)，並使用專門工具與這些元件互動，同時透過模糊測試與目標分析技巧，找出資料外洩或未經授權的動作等潛在安全漏洞。

「行動應用程式安全防護實務」是步調快速的技術課程，旨在讓參與者實際體驗行動應用程式的評估過程。本課程內容適合具備資安基礎知識、威脅模型建構、物件導向程式設計背景，以及有限組合語言 (ARM) 經驗的參與者。這堂課能為安全防護工程師、應用程式開發人員和滲透測試人員能從帶來最多收穫。

由講師講解的現場訓練課程

• 4 天 (現場授課)
• 5 天 (線上授課)

參與者應攜帶自己的筆記型電腦，並將所選瀏覽器更新至最新版本，同時連上網際網路。參與者將收到課程教材，且可在課程期間存取測試環境。