Mobil Uygulama Güvenliği Denetimi

Amaç

Katılımcıların mobil uygulamalarla ilgili statik ve dinamik analiz yapabilmelerini ve istemci tarafında oluşabilecek açıklıkları tespit edebilmelerini hedeflemektedir. Mobil uygulamaların kullandığı HTTP servisleri ile ilgili açıklık türleri ve testler Mobil Uygulamalar Güvenlik Denetimi Eğitimi’nin kapsamında değildir.

Eğitim kapsamı iOS ve Android cihaz uygulamalarına odaklıdır.

Ön Koşullar

Mobil uygulamalar ile ilgili güvenlik denetimleri hem istemci uygulamasının hem de istemci uygulamasının kullandığı HTTP servislerinin denetimini içermektedir. Ancak HTTP servisleri ile ilgili açıklık türleri ve testler Web Uygulamaları Güvenlik Denetimi Eğitimi kapsamında ele alındığından bu eğitimde tekrar edilmemektedir.

Ancak katılımcıların istemci tarafında oluşabilecek riskleri anlayabilmeleri için istemci uygulamalarının kullandığı HTTP servisleri ve bunlardan kaynaklanabilecek risklerle ilgili bilgi sahibi olması gereklidir. Bu yüzden katılımcıların bu konuda deneyim sahibi olmaları veya eğitim almış olmaları Mobil Uygulamalar Güvenlik Denetimi Eğitimi’nin ön şartıdır.

Katılımcılar
Sızma testi uzmanları, bilgi güvenliği ve bilgi teknolojileri denetçileri, bilgi teknolojileri risk ve uyum uzmanları, web ve mobil uygulama geliştiricileri eğitime katılabilir.
İçerik

Andorid Mobil Uygulama Güvenlik Denetimi

  • Mobil ve Web Uygulama Mimarisi Arasında Farklar
  • Android İşletim Sistemi ve Özellikleri
    • Android Rooting
    • Android Güvenlik Mimarisi
    • Dalvik Virtual Makinesi
    • ARM
    • Android Uygulama Bileşenleri
  • Root Kontrollerini Aşma
  • Smali Kodu Yama Geçme
  • Attack Proxy ile Araya Girme
    • SSL Pinning’i Atlatma
    • Kriptolu Veriler ve Çözümlenmesi
  • Analiz Yöntemleri
    • Statik Analiz
    • Dinamik Analiz
    • Debug İşlemleri
    • ADB Aracı
  • IPC(Inter Process Communication) Saldırıları
  • Hasas Bilgi Analizi (Forensic)
    • Cihaz Üzerinde Saklanan Hassas Bilgiler
    • Cihaz Loglarında Sızan Bilgiler
  • APK Dosya içeriği
  • Obfuscation (Karmaşıklaştırma)
  • Dex ve Jar Dosyası
  • Shared Preferences ve SQLite Veritabanı Dosyaları
  • Android Malware Yerleştirme


IOS Mobil Uygulama Güvenlik Denetimi

  • IOS Ortamı
    • IOS Geliştirme Ortamı
    • Cihaz ve Simulatör Ortamı
  • Jailbreak Nedir
    • Cydia Ortamı
  • Cihaz’la Dosya Alışverişi
  • Cihaza Komut Satırından Erişim
  • Analiz Yöntemleri
    • Statik Analiz
    • Dinamik Analiz
    • Debug İşlemleri
    • gdb ile iOS Debugging ve İstemci Taraflı Kontrollerin Aşılması
  • ARM Assembly
  • Önemli Kontrollerin Aşılması
    • Binary Kod Yamalama
    • Jailbreak Kontrolünü Aşma
    • RunTime Manipülasyonlar
    • SSL Pinning
    • Kriptolu Veriler ve Çözümlenmesi
  • Attack Proxy ile Araya Girme
  • Kriptolu Veriler ve Çözümlenmesi
  • IPA Dosya İçeriği
  • Cihaz Üzerinde Hassas Verilerin İncelenmesi
    • Dizin Yapısı
    • Keychain
    • Plist ve Binary Plist Dosyaları
    • Sqlite Veritabanı
    • Uygulama Logları
 
Süre / Yer

Süre: 2 gün

Yer: İstanbul