Курс
Mobile Application Security

Безопасность мобильных приложений — новый тренд в ИБ и в IT-компаниях. Мобильные приложения повсюду, все популярные сервисы имеют мобильные версии. Этот курс дает возможность попасть в первую волну профессионалов в области безопасности мобильных приложений, расширить стек известных технологий и найти работу в области мобильной безопасности или Bug Hunting’e.

Записаться на обучение

Старт

19 февраля 2021

Длительность

5 недель

Формат обучения

Виртуальный класс

Почему стоит начать прямо сейчас?

Новое направление в ИБ

Безопасность мобильных приложений это одна из самых новых и развивающихся областей в аудите информационной безопасности.

Тренд на мобильные приложения

Уже сейчас почти каждая крупная компания выпускает мобильные приложения для возможность пользовательского взаимодействия с их сервисами через смартфоны.

Нехватка профессионалов

ИТ компании и компании аудиторы ИБ нуждаются в Application Security специалистах в области мобильных приложений.

BugBounty

Мобильные приложения не так давно вышли на платформы BugBounty. Google разместила на платформы BugBounty сотни приложений из Play Store и еще слишком мало Bounty Hunter’ов участвовали в их исследовании.

Безопасность мобильных приложений:
что это?

Аудитория

Специалисты желающие научиться разрабатывать мобильные приложения, анализировать защищенность мобильных приложений Android и iOS, а также проводить реверс-инжиниринг зловредных мобильных приложений.

Главная задача

Продемонстрировать уязвимости системы по отношению к хакерским атакам. Анализ цели, поиск уязвимости и используя цепочку уязвимостей демонстрирует проведение атаки. From zero to hero.

Пройдя курс вы получите новые навыки:

Проводить реверс-инжиниринг мобильных приложений Android и iOS.

Анализировать зловредные пакеты приложений Android и iOS.

Эксплуатировать типовые уязвимости мобильных приложений.

Получать данные, хранящиеся в приватных областях и доступные только приложению.

Создавать простейшие мобильные приложения для Android и iOS платформ.

Защищать мобильные приложения от типовых атак и уязвимостей

Программа обучения

5 недель

13 занятий

52 ак. часов

> 50 практических задач

2-3 занятия в неделю

Занятие 1. Ознакомление с ОС Android
4 ак. часа
  • Устройство системы Android
  • Работа с Android через adb
  • Root привилегии
  • Получение привилегий Root на устройстве
  • Андроид приложения (Java, Kotlin)
  • Виртуальная машина Dalvik и ART
  • Получение APK из Android OS
  • Структура APK
  • Декомпиляция DEX в Java
  • Эмуляция Android OS
Занятие 2. Работа с Android OS и пакетами APK
4 ак. часа
  • Настройка среды Android через AVD
  • Запуск эмулятора Android OS
  • Подключение к эмулятору через adb
  • Получение привилегий root на эмуляторе
  • Изучение структуры файлов OS и конкретного приложения
  • Исследование кода приложения
Занятие 3. Разработка Android приложения
4 ак. часа
  • Цикл жизни Android приложения
  • Обработка событий
  • Разработка визуальных элементов
  • Параметры элементов
  • XML представление элементов
  • Ресурсы программы
  • Связывание элементов представления с функциями и событиями
  • Создание функций
  • Activities & Intents
  • Подпись приложения
  • Обфускация кода
Занятие 4. Реверс-инжиниринг Android приложений
4 ак. часа
  • Реверс-инжиниринг
  • Java & Smali
  • Декомпиляция в Smali
  • Apktool и распаковка
  • Ресурсы
  • Патчинг
  • Сборка измененного приложения
  • Отладка Android приложения
Занятие 4. Реверс-инжиниринг Android приложений
4 ак. часа
  • Реверс-инжиниринг
  • Java & Smali
  • Декомпиляция в Smali
  • Apktool и распаковка
  • Ресурсы
  • Патчинг
  • Сборка измененного приложения
  • Отладка Android приложения
Занятие 5. Типовые уязвимости мобильных приложений Android
4 ак. часа
  • Проект OWASP Mobile 
  • Уязвимости мобильных приложений
  • Системы оценки защищенности приложения
  • Поиск уязвимостей и работы по анализу защищенности
  • Практика поиска уязвимостей приложений
Занятие 6. Типовые уязвимости мобильных приложений Android 2
4 ак. часа
  • Практические занятие по поиску уязвимостей в приложении банкинга.
Занятие 7. SSL-pinning и Frida-tools
4 ак. часа
  • SSL-pinning 
  • Certificate-pinning
  • Public-key-pinning
  • SSL Цепочка сертификатов и проверка цепочки
  • Перехват трафика при SSL-pinning
  • Методы имплементации SSL-pinning 
  • Обход TrustManager
  • Работа с Frida
  • Frida скрипты
  • Frida Hooking, Tracking, Patching в рантайме
  • Objection
Занятие 8. Инструменты автоматизации анализа
4 ак. часа
  • Методы анализа защищенности
  • Установка и настройка Docker Community Edition
  • Mobile Security Framework (MobSF)
  • Приложение-агент Drozer
Занятие 9. Введение в iOS
4 ак. часа
  • Apples OSs
  • iOS vs Android
  • Hackintosh
  • Virtual Env. Patching
  • Установка MacOS
  • Разработка приложений iOS
  • IDE Xcode
  • iOS Emulation
  • Файловая структура
  • MacOS package management
  • Инструменты iOS vs Android 
  • Настройка Proxy
  • Настройка сертификата SSL для Proxy
Занятие 10. iOS Архитектура безопасности
4 ак. часа
  • iOS Архитектура безопасности
  • Безопасность Hardware
  • Secure Boot
  • Code Signing
  • Шифрование и защита данных
  • Sandbox
  • Механизмы защиты от эксплойтов
  • Разработка ПО под iOS
  • Приложения в iOS
  • IPA Payloads — A Closer Look
  • App Structure on the iOS File System
  • The Installation Process
  • App Permissions
  • iOS Application Attack surface
Занятие 11. Jailbreaking iOS
4 ак. часа
  • Jailbreaking iOS
  • Alternative Installation (Impactor)
  • Application Trust
  • Cydia
  • OpenSSH
  • iPhone Management
  • iMazing
  • MobSF and IPA files
  • Encrypted Applications and Clutch
Занятие 12. Динамический анализ приложений iOS
4 ак. часа
  • iOS Security 
  • Data Storage
  • Keychain Dumping
  • Plist Dumping
  • Runtime Manipulation
  • Cycript
  • Process Injection
  • Исполнение кода
  • Дампинг классов
  • Frida for iOS
Занятие 13. Типовые уязвимости приложений iOS
4 ак. часа
  • Тестирование пользовательских схем URL.
  • Тестирование web-view iOS
  • Определение того, предоставляются ли собственные методы через веб-представления
  • Тестирование каналов связи
  • Сетевое API iOS
  • Хранение данных на iOS
  • Защита от reverse-engineering iOS
Практические задачи
40 задач
  • Извлечение APK
  • Извлечение кода при помощи dex2jar
  • Декомпиляция Java через JD-GUI
  • Работа с кодом приложения
  • Изменение логики работы приложения
  • Декомпиляция приложения и изучение кода
  • Патчинг Smali кода
  • Подпись измененного приложения
  • Insecure Logging
  • Hardcoding Issues
  • Insecure Data Storage
  • Input Validation Issues
  • Access Control Issues
  • Hardcoded secrets
  • Developer Backdoors
  • Insecure HTTP connections
  • Insecure SDCard storage
  • Weak Authorization mechanism
  • Local Encryption issues
  • Vulnerable Activity Components
  • Insecure Logging mechanism
  • Android Backup vulnerability
  • Sensitive Information in Memory
  • Insecure Webview implementation
  • Insecure Content Provider access
  • Application Patching
  • Android Pasteboard vulnerability
  • Application Debuggable
  • Android keyboard cache issues
  • Runtime Manipulation
  • Root Detection and Bypass
  • Intent Sniffing and Injection
  • Parameter Manipulation
  • Weak change password implementation
  • Flawed Broadcast Receivers
  • Использование Frida
  • Использование Objection
  • Установка Hackintosh
  • Эмуляция устройства iOS
  • Настройка прокси для iOS
Записаться на обучение

Как проходит обучение

  • Иммерсивный подход
  • Фокус на практике. Более 70% времени обучения вы уделите развитию практических навыков.

  • Никаких записей с прошлых потоков
  • Обновляем контент перед каждым запуском курса, снимая актуальные запросы с рынка и ориентируемся на них, создавая программы обучения.

  • Эксперты — реальные практики
  • Наши преподаватели проходят тестирование на соответствие требованиям HackerU Global. Мы приглашаем лучших экспертов — практиков, которые каждый день сталкиваются с реальными задачами и решают их.

  • Домашние задания с поддержкой эксперта
  • После каждого практического занятия вы получаете домашнее задание с обязательной обратной связью от преподавателя. Experience makes experts.

  • Порог входа в программу
    • Умение читать специализированную  документацию и техническую литературу на английском языке со словарем;
    • Опыт написания кода на любом языке программирования;
    • Иметь представление о взаимодействии компьютеров в сети;
    • Иметь начальные представления  о механизмах, работающих в сети Интернет (веб-серверы, почтовые сервисы, мобильные приложения).
  • Доступ к платформе CyWar: Cyber Arena
  • Платформа для моделирования различных сценариев атаки и защиты, разработанная ведущими экспертами Израиля в области информационной безопасности.

    01   / 05

    Что вы получите
    после 5 месяцев обучения?

    Международный сертификат HackerU
    Знания и навыки необходимые для начала работы в этой области а также попадание в комьюнити экспертов.
    Доступ к материалам обучения, записям ваших занятий, практическим заданиям и учебным платформам.

    Записаться на обучение

    Стоимость

    33 696 ₽

    !
    !

    user search complete

    Преподаватели — эксперты-практики, работающие в ТОП-компаниях

    Все преподаватели
    Назад

    FAQ — ответы на часто задаваемые вопросы

    В чем отличие HackerU от других школ?

    HackerU Россия — один из филиалов международной школы, со штаб-квартирой в Израиле, стране-лидере в IT  и кибербезопасности. Это позволяет нам формировать учебные программы в тесном взаимодействии с и образовательными центрами других стран, которые отвечают международным требованиям.
    В HackerU есть бизнес-подразделения, реально оказывающие услуги бизнесу. Мы знаем куда движется отрасль IT и кибербезопасности, поэтому наши программы актуальны, а выпускники — востребованы.

    Получу ли я трудоустройство после обучения?

    На рынке сложилась такая ситуация, что многие говорят о трудоустройстве, но на деле предлагают пройти стажировку, не гарантирующую последующего приема в штат. Либо предлагают  компании, которые соискателям не интересны. По нашим опросам  около 80% выпускников IT-школ оказываются не трудоустроенными, несмотря на все заверения организаторов. 

    Нашим выпускникам мы предлагаем Карьерный сервис. Выпускники прорабатывают продающее CV, учатся правильно вести профили в соцсетях, презентовать себя HR специалисту. В результате плотной работы с карьерным консультантом они получают готовую маршрутную карту, соблюдение которой гарантирует карьерный рост и выход на желаемый уровень дохода.

    Почему нет цены на обучение?

    Стоимость обучения зависит от действующих акций, корпоративных и индивидуальных скидок. После оставления заявки с вами свяжется менеджер и расскажет о действующих условиях обучения. Вы совместно решите на сколько выбранная программа отвечает вашим интересам и зарплатным ожиданиям.

    Почему у вас нет курсов в записи, а только онлайн или очно?

    В мире IT и кибербезопасности все меняется каждый день. Учить студентов навыкам, которые были актуальны вчера — неэффективно. Наша миссия — сократить дефицит специалистов в области информационных технологий, кибербезопасности и открыть талантливым людям путь к высокому заработку и мобильности.

    Все ответы

    Остались вопросы?

    Оставьте номер телефона и мы перезвоним вам в течение нескольких минут

    !
    !
    Получить консультацию
    !
    !

    Спасибо,
    менеджер свяжется с вами в ближайшее время

    Спасибо,
    за регистрацию на вебинар

    Заказать обратный звонок

    !
    Заполните это поле
    !
    Заполните это поле