Bezpieczeństwo aplikacji Android – naprawianie podatności

Tytuł: Bezpieczeństwo aplikacji Android – naprawianie podatności
Kod: sec-android
Kategoria: Android
Forma: 30% wykładów, 70% praktyki
Czas trwania: 1 dzień
Odbiorcy: testerzy, architekci, developerzy
Zapisy: Indywidualne zamówienie i dopasowanie dla grupy.
Logistyka: W siedzibie klienta lub w innym dowolnym miejscu.
Partner merytoryczny:

Szkolenie jest przeznaczone dla osób uczestniczących w procesie wytwarzania aplikacji na platformę Android.

Jego celem jest przejście procesu wdrażania poprawek do aplikacji po otrzymaniu raportu z testów bezpieczeństwa. W trakcie szkolenia dowiesz się jak interpretować raport z testu penetracyjnego, jak odtworzyć wskazane podatności, jaki mają one faktyczny wpływ na ryzyko oraz jak zaimplementować poprawki.

Zakres

  • Bezpieczeństwo systemu Android
  • Analiza raportu z testów bezpieczeństwa
  • Bezpieczeństwo komunikacji pomiędzy aplikacją mobilną, a serwerem
  • Bezpieczne przechowywanie danych wrażliwych na Androidzie
  • Poprawna identyfikacja instancji aplikacji
  • Wykrywanie roota
  • Zabezpieczenia przed inżynierią wsteczną
  • Bezpieczeństwo WebView
  • Poprawna implementacji powyższych zagadnień

Forma

Szkolenie kładzie nacisk na aspekty praktyczne. Uczestnicy będą pracować na podatnej aplikacji na platformę Android i na jej przykładzie będą implementowali poprawki do podatności zgłoszonych w omawianym raporcie z testów bezpieczeństwa. Dodatkowo, szkolenie przewiduje czas na dyskusję dotyczącą konkretnych problemów dotyczących bezpieczeństwa w aplikacjach rozwijanych przez uczestników. Uczestnicy będą mieli możliwość skonfrontować problemy, z którymi spotykają się na co dzień z wiedzą ekspercką.

Wyróżniki szkolenia

  • Szkolenie jest prowadzone przez trenera zajmującego się faktycznie bezpieczeństwem Androida i mającego własne badania w tym zakresie
  • Szkolenie ma pomóc w efektywnym naprawianiu błędów bezpieczeństwa. Nie jest to kolejne szkolenie ofensywne pozostawiające wiele wątpliwości dotyczących poprawnej implementacji omawianych zagadnień
  • Zajęcia zaczynają się od analizy raportu z testów penetracyjnych. Trener przedstawi jak zinterpretować taki raport oraz przedstawi metodykę odtworzenia przypadków testowych. Takie unikalne podejście pozwoli uczestnikom skrócić czas potrzebny do zrozumienia jak podatności w aplikacjach mobilnych faktycznie działają

Program Szkolenia

Program jest ramą w jakiej możemy się poruszać merytorycznie - program dla konkretnego szkolenia dedykowanego ustalamy z grupą na podstawie analizy przed-szkoleniowej.

  1. Wstęp do bezpieczeństwa systemu Android
    1. Krótka historia Androida
    2. Struktura uprawnień
    3. Rooting
  2. Raport z testów bezpieczeństwa – i co teraz?
    1. Struktura raportu
    2. Wycena ryzyka podatności
    3. Opis podatności
    4. Warunki wykorzystania
    5. Przypadek testowy
  3. Konfiguracja środowiska testowego
    1. Konfiguracja sieciowa
    2. Proxy HTTP/HTTPS
    3. Dostosowanie Androida oraz stacji roboczej do testów
  4. Podatność 1 – Niebezpieczne przechowywanie danych na urządzeniu
    1. Dyskusja na temat podatności
    2. Odtworzenie przypadku testowego
    3. Naprawa podatności
  5. Podatność 2 – Brak sprawdzania certyfikatu SSL
    1. Dyskusja na temat podatności
    2. Odtworzenie przypadku testowego
    3. Naprawa podatności
  6. Podatność 3 – Nieprawidłowa konfiguracja WebView
    1. Dyskusja na temat podatności
    2. Odtworzenie przypadku testowego
    3. Naprawa podatności
  7. Zalecenie – Wdrożenie mechanizmów utrudniających inżynierię wsteczną
    1. Dyskusja na temat zalecenia
    2. Odtworzenie przypadku testowego
    3. Wdrożenie zalecenia
  8. Podsumowanie


Pobierz program w formacie PDF

Trenerzy

Poznaj ekspertów, którzy mogą poprowadzić Twoje szkolenie.

Materiały związane ze szkoleniem

Idea renesansowej pracowni - Bottegi zakłada nieustanną pracę jej członków i dzielenie się jej wynikami.

Zamów szkolenie

Imię i nazwisko:
Firma:
E-mail:
Nr tel:
Temat:
Wiadomość:

Jeżeli preferujesz osobisty kontakt to zawsze możesz zadzwonić.

Iwona Sobótka

Koordynatorka szkoleń


Twoje dane osobowe przetwarzamy, aby udzielić odpowiedzi na Twoje pytanie. Administratorem Twoich danych osobowych jest Bottega It Minds Sławomir Sobótka. Przysługuje Ci prawo wniesienia sprzeciwu wobec przetwarzania, prawo dostępu do danych, prawo żądania ich sprostowania, usunięcia lub ograniczenia ich przetwarzania. Szczegółowe informacje dotyczące przetwarzania Twoich danych osobowych znajdują się TUTAJ.