خلاصهٔ تست نفوذ نرم افزارهای اندروید

تست نفوذ نرم افزارهای اندروید - WAPTC

دوره WAPTC (Webamooz Android Penetration Testing Course) با هدف آموزش متودولوژی و تکنیک های تشخیص و اکسپلویت کردن آسیب پذیری های مهم در WAPTC logo نرم افزار های اندروید تهیه شده است. مخاطبین این دوره افرادی هستند که می خواهند وارد حوزه امنیت موبایل خصوصا پلتفرم اندروید شوند، از طرفی مفاهیم ارائه شده در این دوره برای افرادی که آشنایی اولیه با مباحث امنیت موبایل و اندروید دارند نیز بسیار کاربردی خواهد بود.

تمامی مباحث آموزش داده دارای دمو و نمونه عملی هستند که توسط دانش جو قابل پیاده سازی و انجام است. همچنین سعی شده از نرم افزارهای ارائه شده در مارکت های اندروید به عنوان هدف استفاده شود تا از آغاز کار، آسیب پذیری های واقعی هدف قرار داده شوند. پس از گذراندن این دوره شما می توانید نرم افزارهای مختلف را با استفاده از روش های نوین و ابزارهای بروز این حوزه مورد بررسی قرار داده و آسیب پذیری های آن ها را پیدا کرده و exploit آن ها را تولید کنید.

اگر قصد تحقیق در زمینه امنیت موبایل و اندروید را دارید این دوره می تواند به عنوان یک نقطه آغازین، به شما دید کافی را برای ادامه مسیر بدهد.

۳۰ دقیقه ارائه آشنایی با دوره تست نفوذ اندروید وب آموز

پیش نیاز: آشنایی با مفاهیم شبکه و مفاهیم پایه برنامه نویسی (تسلط به توسعه نرم‌افزار بر روی پلتفرم اندروید الزامی نیست و توانمندی لازم در طول دوره کسب می شود)

طول دوره :‌ ۵۰۰ دقیقه فیلم آموزشی یه همراه تمرین ها

سطح دوره: متوسط پیشرفته

مدرس دوره: مهندس بابک امین آزاد (مشاهده رزومه).

هزینه دوره : رایگان

سرفصل دوره WAPTC :

راه اندازی آزمایشگاه تست نفوذ

نصب و پیکربندی امولاتور، معرفی محیط توسعه اندروید، معرفی توزیع های لینوکس برای تست نفوذ اندروید

معرفی سیستم عامل اندروید ( بوت شدن، معماری، ساختمان داده ها و سیستم فایل)

بررسی ماژول‌های سیستم عامل اندروید، نسخه‌ها و API Level های اندروید،مراحل بوت شدن سیستم‌عامل،ماشین مجازی Dalvik، مدل امنیتی و Sandbox در اندروید، مکانیزم‌های ذخیره‌سازی داده

نرم افزارهای اندروید و ساختار فایل های APK، دسترسی ها و مدل امنیتی

ساختارها و اصطلاحات مربوط به نرم‌افزار‌های اندروید، ساختار فایل‌های APK، دسترسی‌ها در اندروید، آنالیز فایل AndroidManifest.xml

روت کردن دستگاه اندرویدی

روت کردن چیست؟ چرا نیاز به این کار وجود دارد؟

راه اندازی پروکسی برای دستگاه اندرویدی (امولاتور و گوشی) نصب سرتیفیکت و سپس MITM ارتباطات عادیو SSL دستکاری داده

معرفی BurpSuite، بررسی ترافیک ارسالی توسط یک نرم افزار و import کردن سرتیفیکت Burp

دور زدن Certificate Pinning

معرفی مکانیزم امنیتی Certificate Pinning و روش های دوز زدن آن

مهندسی معکوس، آنالیز فایل های DEX، بازگردانی کد به Java

ساختار ماشین مجازی Dalvik در اندروید، بدست آوردن فایل smali و دستکاری آن، بازگردانی فایل Java

آنالیز استاتیک و ابزارها

معرفی متد ها و ابزارهای آنالیز استاتیک

آنالیز داینامیک، دیباگ کردن با JDB

دور زدن Root detection

نشت داده از طریق log
آسیب پذیری های احراز هویت

ضعف در مدیریت Session ها، ذخیره اطلاعات هویت کاربر در سمت Client

نشت اطلاعات از طریق Content Provider ها
ذخیره نا امن داده (Shared prefs، SQLite)
ضعف در رمزنگاری
هوک کردن خودکار با Introspy
Inspeckage معرفی نرم افزار آنالیز و هوکینگ خودکار با نام
هوکینگ و تغییر رفتار نرم افزار ها به صورت داینامیک با فریمورک های Frida، Cydia Substrate و Xposed Framework
مسیر پیش رو و پروژه نهایی

Teacher: بابک امین آزاد

کلیک کنید تا وارد این درس شوید