Bezpieczeństwo aplikacji Android – naprawianie podatności

Kod: sec-android
Kategoria: Android
Forma: 30% wykładów, 70% praktyki
Czas trwania: 1 dzień
Odbiorcy: testerzy, architekci, developerzy
Zapisy: Indywidualne zamówienie i dopasowanie dla grupy.
Logistyka: W siedzibie klienta lub w innym dowolnym miejscu.
Partner merytoryczny:

Szkolenie jest przeznaczone dla osób uczestniczących w procesie wytwarzania aplikacji na platformę Android.

Jego celem jest przejście procesu wdrażania poprawek do aplikacji po otrzymaniu raportu z testów bezpieczeństwa. W trakcie szkolenia dowiesz się jak interpretować raport z testu penetracyjnego, jak odtworzyć wskazane podatności, jaki mają one faktyczny wpływ na ryzyko oraz jak zaimplementować poprawki.

Zakres

  • Bezpieczeństwo systemu Android
  • Analiza raportu z testów bezpieczeństwa
  • Bezpieczeństwo komunikacji pomiędzy aplikacją mobilną, a serwerem
  • Bezpieczne przechowywanie danych wrażliwych na Androidzie
  • Poprawna identyfikacja instancji aplikacji
  • Wykrywanie roota
  • Zabezpieczenia przed inżynierią wsteczną
  • Bezpieczeństwo WebView
  • Poprawna implementacji powyższych zagadnień

Forma

Szkolenie kładzie nacisk na aspekty praktyczne. Uczestnicy będą pracować na podatnej aplikacji na platformę Android i na jej przykładzie będą implementowali poprawki do podatności zgłoszonych w omawianym raporcie z testów bezpieczeństwa. Dodatkowo, szkolenie przewiduje czas na dyskusję dotyczącą konkretnych problemów dotyczących bezpieczeństwa w aplikacjach rozwijanych przez uczestników. Uczestnicy będą mieli możliwość skonfrontować problemy, z którymi spotykają się na co dzień z wiedzą ekspercką.

Wyróżniki szkolenia

  • Szkolenie jest prowadzone przez trenera zajmującego się faktycznie bezpieczeństwem Androida i mającego własne badania w tym zakresie
  • Szkolenie ma pomóc w efektywnym naprawianiu błędów bezpieczeństwa. Nie jest to kolejne szkolenie ofensywne pozostawiające wiele wątpliwości dotyczących poprawnej implementacji omawianych zagadnień
  • Zajęcia zaczynają się od analizy raportu z testów penetracyjnych. Trener przedstawi jak zinterpretować taki raport oraz przedstawi metodykę odtworzenia przypadków testowych. Takie unikalne podejście pozwoli uczestnikom skrócić czas potrzebny do zrozumienia jak podatności w aplikacjach mobilnych faktycznie działają

Program Szkolenia

Program jest ramą w jakiej możemy się poruszać merytorycznie - program dla konkretnego szkolenia dedykowanego ustalamy z grupą na podstawie analizy przed-szkoleniowej.

  1. Wstęp do bezpieczeństwa systemu Android
    1. Krótka historia Androida
    2. Struktura uprawnień
    3. Rooting
  2. Raport z testów bezpieczeństwa – i co teraz?
    1. Struktura raportu
    2. Wycena ryzyka podatności
    3. Opis podatności
    4. Warunki wykorzystania
    5. Przypadek testowy
  3. Konfiguracja środowiska testowego
    1. Konfiguracja sieciowa
    2. Proxy HTTP/HTTPS
    3. Dostosowanie Androida oraz stacji roboczej do testów
  4. Podatność 1 – Niebezpieczne przechowywanie danych na urządzeniu
    1. Dyskusja na temat podatności
    2. Odtworzenie przypadku testowego
    3. Naprawa podatności
  5. Podatność 2 – Brak sprawdzania certyfikatu SSL
    1. Dyskusja na temat podatności
    2. Odtworzenie przypadku testowego
    3. Naprawa podatności
  6. Podatność 3 – Nieprawidłowa konfiguracja WebView
    1. Dyskusja na temat podatności
    2. Odtworzenie przypadku testowego
    3. Naprawa podatności
  7. Zalecenie – Wdrożenie mechanizmów utrudniających inżynierię wsteczną
    1. Dyskusja na temat zalecenia
    2. Odtworzenie przypadku testowego
    3. Wdrożenie zalecenia
  8. Podsumowanie


Pobierz program w formacie PDF

Trenerzy

Poznaj ekspertów, którzy mogą poprowadzić Twoje szkolenie.

Materiały związane ze szkoleniem

Idea renesansowej pracowni - Bottegi zakłada nieustanną pracę jej członków i dzielenie się jej wynikami.

Zamów szkolenie

Imię i nazwisko:
Firma:
E-mail:
Nr tel:
Temat:
Wiadomość:

Jeżeli preferujesz osobisty kontakt to zawsze możesz zadzwonić.

Iwona Sobótka

Koordynatorka szkoleń


Wyrażam zgodę na przetwarzania danych osobowych zgodnie z ustawą o ochronie danych osobowych w związku z wysłaniem zapytania przez formularz kontaktowy.

Podanie danych jest dobrowolne ale niezbędne do przetworzenia zapytania. Zastałem/am poinformowany/na, że przysługuje mi prawo dostępu do swoich danych, możliwości ich poprawienia, żądania zaprzestania ich przetwarzania.

Administratorem danych osobowych jest Bottega IT Minds, ul. Jana Sawy 2, 20-632 Lublin.


Klauzula informacyjna