Bezpieczeństwo aplikacji iOS – naprawianie podatności

Kod: sec-ios
Kategoria: Bezpieczeństwo
Forma: 30% wykładów, 70% praktyki
Czas trwania: 1 dzień
Odbiorcy: testerzy, architekci, developerzy
Zapisy: Indywidualne zamówienie i dopasowanie dla grupy.
Logistyka: W siedzibie klienta lub w innym dowolnym miejscu.
Partner merytoryczny:

Szkolenie jest przeznaczone dla osób uczestniczących w procesie wytwarzania aplikacji na platformę iOS.

Jego celem jest przejście procesu wdrażania poprawek do aplikacji po otrzymaniu raportu z testów bezpieczeństwa. W trakcie szkolenia dowiesz się jak interpretować raport z testu penetracyjnego, jak odtworzyć wskazane podatności, jaki mają one faktyczny wpływ na ryzyko oraz jak zaimplementować poprawki

Zakres:

  • Bezpieczeństwo systemu iOS
  • Analiza raportu z testów bezpieczeństwa
  • Bezpieczeństwo komunikacji pomiędzy aplikacją mobilną, a serwerem
  • Bezpieczne przechowywanie danych wrażliwych na iOS
  • Poprawna implementacja komunikacji międzyaplikacyjnej
  • Wykrywanie jailbreaka
  • Zabezpieczenia przed inżynierią wsteczną
  • Bezpieczeństwo WebView
  • Poprawna implementacji powyższych zagadnień

Forma

Szkolenie kładzie nacisk na aspekty praktyczne. Uczestnicy będą pracować na podatnej aplikacji na platformę iOS i na jej przykładzie będą implementowali poprawki do podatności zgłoszonych w omawianym raporcie z testów bezpieczeństwa. Dodatkowo, szkolenie przewiduje czas na dyskusje dotyczącą konkretnych problemów dotyczących bezpieczeństwa w aplikacjach rozwijanych przez uczestników. Uczestnicy będą mieli możliwość skonfrontować problemy, z którymi spotykają się na co dzień z wiedzą ekspercką.

Wyróżniki szkolenia

  • Szkolenie jest prowadzone przez trenera zajmującego się faktycznie bezpieczeństwem iOSa, mającego własne badania w tym zakresie. Trener znajdował podatności także w oprogramowaniu Appla, za co został wyróżniony na stronie apple.com
  • Szkolenie ma pomóc w efektywnym naprawianiu błędów bezpieczeństwa. Nie jest to kolejne szkolenie ofensywne, pozostawiające wiele wątpliwości dotyczących poprawnej implementacji omawianych zagadnień
  • Zajęcia zaczynają się od raportu z testów penetracyjnych. Trener przedstawi jak takowy raport strawić i przedstawi metodykę odtworzenia przypadków testowych. Takie unikalne podejście pozwala skrócić czas spędzany na zrozumieniu jak podatności w aplikacjach mobilnych faktycznie działają

Program Szkolenia

Program jest ramą w jakiej możemy się poruszać merytorycznie - program dla konkretnego szkolenia dedykowanego ustalamy z grupą na podstawie analizy przed-szkoleniowej.

  1. Wstęp do bezpieczeństwa systemu iOS
    1. Krótka historia systemów Appla
    2. Szyfrowanie dysku iPhona
    3. Sandboxing aplikacji
    4. Jailbreaking
  2. Raport z testów bezpieczeństwa – i co teraz?
    1. Struktura raportu
    2. Wycena ryzyka podatności
    3. Opis podatności
    4. Warunki wykorzystania
    5. Przypadek testowy
  3. Konfiguracja środowiska testowego
    1. Konfiguracja sieciowa
    2. Proxy HTTP/HTTPS
    3. Konfiguracja macOS
    4. Dostosowanie iPhona do testów
  4. Podatność 1 – Niebezpieczne przechowywanie danych na urządzeniu
    1. Dyskusja na temat podatności
    2. Odtworzenie przypadku testowego
    3. Naprawa podatności
  5. Podatność 2 – Brak sprawdzania certyfikatu SSL
    1. Dyskusja na temat podatności
    2. Odtworzenie przypadku testowego
    3. Naprawa podatności
  6. Podatność 3 – Nieprawidłowa walidacja danych w URL schemes
    1. Dyskusja na temat podatności
    2. Odtworzenie przypadku testowego
    3. Naprawa podatności
  7. Zalecenie – Wdrożenie mechanizmów utrudniających inżynierię wsteczną
    1. Dyskusja na temat zalecenia
    2. Odtworzenie przypadku testowego
    3. Wdrożenie zalecenia
  8. Podsumowanie


Pobierz program w formacie PDF

Trenerzy

Poznaj ekspertów, którzy mogą poprowadzić Twoje szkolenie.

Materiały związane ze szkoleniem

Idea renesansowej pracowni - Bottegi zakłada nieustanną pracę jej członków i dzielenie się jej wynikami.

Zamów szkolenie

Imię i nazwisko:
Firma:
E-mail:
Nr tel:
Temat:
Wiadomość:

Jeżeli preferujesz osobisty kontakt to zawsze możesz zadzwonić.

Iwona Sobótka

Koordynatorka szkoleń


Wyrażam zgodę na przetwarzania danych osobowych zgodnie z ustawą o ochronie danych osobowych w związku z wysłaniem zapytania przez formularz kontaktowy.

Podanie danych jest dobrowolne ale niezbędne do przetworzenia zapytania. Zastałem/am poinformowany/na, że przysługuje mi prawo dostępu do swoich danych, możliwości ich poprawienia, żądania zaprzestania ich przetwarzania.

Administratorem danych osobowych jest Bottega IT Minds, ul. Jana Sawy 2, 20-632 Lublin.


Klauzula informacyjna