دوره آموزشی ارزیابی امنیتی اپلیکیش‌های تلفن همراه (تحت سیستم‌عامل اندروید)

امروزه با توجه به نقش گسترده تلفن‌های همراه هوشمند و برنامه‌های کابردی آنها در زندگی روزمره، امنیت و قابلیت اعتماد آنها از اهمیت ویژه‌ای برخوردار است. در سال‌های اخیر، اندروید بین سیستم‌عامل‌های تلفن‌های همراه هوشمند بیشترین سهم از بازار فروش را به خود تخصیص داده و به هدف مناسبی برای مهاجمان تبدیل شده است تا با توسعه‌ی برنامه‌های آسیب‌پذیر یا بهره‌برداری از آسیب‌پذیری‌های موجود، امنیت و حریم خصوصی کاربران را به مخاطره بیاندازند.

بر همین اساس، در این دوره آموزشی قصد داریم با آگاهی‌رسانی و آموزش نحوه‌ ارزیابی امنیتی برنامه‌های کاربردی اندروید گامی مؤثر در جهت ارتقای دانش مخاطب‌ها در زمینه‌ی امنیت نرم‌افزارهای اندرویدی برداریم. این دوره آموزشی که طی 3 الی 4 روز و به صورت کارگاهی برگزار می‌گردد، به معرفی مراحل لازم در ارزیابی امنیتی برنامه‌های کاربردی اندروید و ابزارهای مورد نیاز در هر مرحله به‌صورت نظری و عملی می‌پردازد. همچنین به منظور درک بهتر در فضای واقعی از اپلیکیشن‌های واقعی مورد استفاده عموم به منظور انجام تست استفاده می‌گردد. 

مخاطبان دوره:
- علاقمندان به تست نفوذ و امنیت اپلیکیشن‌های موبایل
- برنامه‌نویسان اندروید

طول دوره:
۳۰ ساعت

هزینه دوره:
۶۰۰ هزار تومان

پیشنیاز دوره:
 - آشنایی با مفاهیم امنیت
 - آشنایی با برنامه نویسی

سرفصل:

در این بخش محتوای جلسات به‌طور جزئی بیان شده است. در هر بخش پس از بیان مفاهیم نظری مورد نیاز، به نصب، راه‌اندازی و توضیح نحوه عملکرد ابزارهای مربوطه می‌پردازیم. 

 بخش اول: مقدمه، معرفی مفاهیم اولیه و راه اندازی محیط آزمون

• آشنایی با سیستم‌عامل‌اندروید
• اشنایی با معماری فایل‌های APK
• آشنایی با اجرای نرم‌‏افزار‏ها در سیستم‏‌عامل اندروید؛ مفهوم Sandbox و Permission
• معرفی محیط آزمون
• نصب ابزارهای مورد نیاز اولیه؛ JDK و JRE و Android Studio و IntelliJ Idea
• نصب شبیه‏‌ ساز؛ AVD و Genymotion
• آماده‌سازی شبیه ساز Genymotion برای تست و بررسی

بخش دوم: مهندسی معکوس

• معرفی و نصب ابزارهای انجام مهندسی معکوس ؛ APKtool ،Jadx و JadxGui
• آموزش اولیه کدهای Smali و معرفی ابزار baksmali و DEX2Jar
• تکنیک‌های مبهم‏‌سازی و ابزارهای رفع مبهم‏‌سازی کد
• تغییر در کد‏های نرم‌‏افزار و بسته‏‌بندی مجدد و امضای نرم‌‏افزار

بخش سوم: ارزیابی ذخیره سازی اطلاعات

• بررسی محیط ذخیره‏‌سازی نرم‌‏افزار
• بررسی پایگاه‏داده؛ SQLite ، SQLiteCipher و کتابخانه‏‌های مورد استفاده در این زمینه
• بررسی SharedPref

بخش چهارم: بررسی ارتباطات شبکه

• نصب و بررسی ابزار‏های تحلیل ترافیک نرم‏‌افزار؛ BurpSuite ،Frida و Xposed Framework
• بررسی APIها و نحوه‏‌ی ارتباط بین نرم‏‌افزار و سرور
• مفهوم Certificate/SSL Pinning و Public Key Pinning و نحوه‌ی دور زدن مکانیزم‌های تدافعی

 بخش پنجم: بررسی سیستم احراز هویت

• بررسی انواع سیستم‌های احراز هویت؛ Stateless & Stateful Auth.
• بررسی سیستم احراز هویت نرم‌افزار و نحوه‌‏ی پیاده‏‌سازی آن

بخش ششم: بررسی سیستم‏‌های رمزنگاری

• بررسی سیستم‏‌های رمزنگاری؛ AES , RSA, DES, 3DES
• نحوه‏‌ی استفاده از این سیستم‏‌های رمزنگاری در کد‏
• Hook کردن و بازیابی کلید‏های رمزنگاری

بخش هفتم: Debugging

• عیب ‏یابی نرم‌‏افزار با ابزار JDB
• عیب‏ یابی نرم‌‏افزار با Android Studio و IntelliJ Idea

بخش هشتم: بررسی سیستم‏‌های تدافعی برای جلوگیری از تست نرم‌‏افزار

• بررسی Root Detection
• بررسی Emulator Detection
• بررسی Debugging
• بررسی امضای نرم‌‏افزار
• دور زدن سیستم‌‏های تدافعی

بخش نهم: بررسی OWASP MASVS  و OWASP TOP 10

جهت کسب اطلاعات بیشتر با شماره ۳۵۳۰۳۶۶۴-۰۱۱ تماس حاصل فرمایید

ثبت درخواست برگزاری دوره‌های اختصاصی و درون سازمانی پیش ثبت نام انفرادی