Bezpieczeństwo aplikacji iOS – naprawianie podatności

Kod: sec-ios
Kategoria: Bezpieczeństwo
Forma: 30% wykładów, 70% praktyki
Czas trwania: 1 dzień
Odbiorcy: testerzy, developerzy, architekci
Zapisy: Indywidualne zamówienie i dopasowanie dla grupy.
Logistyka: W siedzibie klienta lub w innym dowolnym miejscu.
Partner merytoryczny:

Szkolenie jest przeznaczone dla osób uczestniczących w procesie wytwarzania aplikacji na platformę iOS.

Jego celem jest przejście procesu wdrażania poprawek do aplikacji po otrzymaniu raportu z testów bezpieczeństwa. W trakcie szkolenia dowiesz się jak interpretować raport z testu penetracyjnego, jak odtworzyć wskazane podatności, jaki mają one faktyczny wpływ na ryzyko oraz jak zaimplementować poprawki

Zakres:

  • Bezpieczeństwo systemu iOS
  • Analiza raportu z testów bezpieczeństwa
  • Bezpieczeństwo komunikacji pomiędzy aplikacją mobilną, a serwerem
  • Bezpieczne przechowywanie danych wrażliwych na iOS
  • Poprawna implementacja komunikacji międzyaplikacyjnej
  • Wykrywanie jailbreaka
  • Zabezpieczenia przed inżynierią wsteczną
  • Bezpieczeństwo WebView
  • Poprawna implementacji powyższych zagadnień

Forma

Szkolenie kładzie nacisk na aspekty praktyczne. Uczestnicy będą pracować na podatnej aplikacji na platformę iOS i na jej przykładzie będą implementowali poprawki do podatności zgłoszonych w omawianym raporcie z testów bezpieczeństwa. Dodatkowo, szkolenie przewiduje czas na dyskusje dotyczącą konkretnych problemów dotyczących bezpieczeństwa w aplikacjach rozwijanych przez uczestników. Uczestnicy będą mieli możliwość skonfrontować problemy, z którymi spotykają się na co dzień z wiedzą ekspercką.

Wyróżniki szkolenia

  • Szkolenie jest prowadzone przez trenera zajmującego się faktycznie bezpieczeństwem iOSa, mającego własne badania w tym zakresie. Trener znajdował podatności także w oprogramowaniu Appla, za co został wyróżniony na stronie apple.com
  • Szkolenie ma pomóc w efektywnym naprawianiu błędów bezpieczeństwa. Nie jest to kolejne szkolenie ofensywne, pozostawiające wiele wątpliwości dotyczących poprawnej implementacji omawianych zagadnień
  • Zajęcia zaczynają się od raportu z testów penetracyjnych. Trener przedstawi jak takowy raport strawić i przedstawi metodykę odtworzenia przypadków testowych. Takie unikalne podejście pozwala skrócić czas spędzany na zrozumieniu jak podatności w aplikacjach mobilnych faktycznie działają

Program Szkolenia

Program jest ramą w jakiej możemy się poruszać merytorycznie - program dla konkretnego szkolenia dedykowanego ustalamy z grupą na podstawie analizy przed-szkoleniowej.

  1. Wstęp do bezpieczeństwa systemu iOS
    1. Krótka historia systemów Appla
    2. Szyfrowanie dysku iPhona
    3. Sandboxing aplikacji
    4. Jailbreaking
  2. Raport z testów bezpieczeństwa – i co teraz?
    1. Struktura raportu
    2. Wycena ryzyka podatności
    3. Opis podatności
    4. Warunki wykorzystania
    5. Przypadek testowy
  3. Konfiguracja środowiska testowego
    1. Konfiguracja sieciowa
    2. Proxy HTTP/HTTPS
    3. Konfiguracja macOS
    4. Dostosowanie iPhona do testów
  4. Podatność 1 – Niebezpieczne przechowywanie danych na urządzeniu
    1. Dyskusja na temat podatności
    2. Odtworzenie przypadku testowego
    3. Naprawa podatności
  5. Podatność 2 – Brak sprawdzania certyfikatu SSL
    1. Dyskusja na temat podatności
    2. Odtworzenie przypadku testowego
    3. Naprawa podatności
  6. Podatność 3 – Nieprawidłowa walidacja danych w URL schemes
    1. Dyskusja na temat podatności
    2. Odtworzenie przypadku testowego
    3. Naprawa podatności
  7. Zalecenie – Wdrożenie mechanizmów utrudniających inżynierię wsteczną
    1. Dyskusja na temat zalecenia
    2. Odtworzenie przypadku testowego
    3. Wdrożenie zalecenia
  8. Podsumowanie


Pobierz program w formacie PDF

Trenerzy

Poznaj ekspertów, którzy mogą poprowadzić Twoje szkolenie.

Materiały związane ze szkoleniem

Idea renesansowej pracowni - Bottegi zakłada nieustanną pracę jej członków i dzielenie się jej wynikami.

Zamów szkolenie

Imię i nazwisko:
Firma:
E-mail:
Nr tel:
Temat:
Wiadomość:

Jeżeli preferujesz osobisty kontakt to zawsze możesz zadzwonić.

Iwona Sobótka

Koordynatorka szkoleń


Twoje dane osobowe przetwarzamy, aby udzielić odpowiedzi na Twoje pytanie. Administratorem Twoich danych osobowych jest Bottega It Minds Sławomir Sobótka. Przysługuje Ci prawo wniesienia sprzeciwu wobec przetwarzania, prawo dostępu do danych, prawo żądania ich sprostowania, usunięcia lub ograniczenia ich przetwarzania. Szczegółowe informacje dotyczące przetwarzania Twoich danych osobowych znajdują się TUTAJ.