Mục tiêu khóa học

• Trang bị cho học viên kiến thức và kỹ năng chuyên sâu về kiểm thử thâm nhập trên các nền tảng di động như Android và iOS.
• Đào tạo học viên cách phát hiện, khai thác và báo cáo các lỗ hổng bảo mật trên ứng dụng di động.
• Cung cấp cái nhìn tổng quan về kiến trúc bảo mật của các hệ điều hành di động, đồng thời giới thiệu các công cụ và phương pháp kiểm thử bảo mật ứng dụng di động.
• Giúp học viên tuân thủ các nguyên tắc đạo đức và pháp lý liên quan đến kiểm thử bảo mật trên thiết bị di động.

Chương trình phù hợp với

• Các chuyên gia bảo mật, kiểm thử thâm nhập, hoặc những người đang làm việc trong lĩnh vực bảo mật thông tin và muốn chuyên sâu vào bảo mật di động.
• Nhà phát triển ứng dụng di động mong muốn tìm hiểu về bảo mật để bảo vệ ứng dụng của mình trước các mối đe dọa.
• Cá nhân muốn nâng cao kiến thức về kiểm thử bảo mật và đạt chứng chỉ quốc tế để phát triển sự nghiệp trong lĩnh vực kiểm thử bảo mật di động.

Chứng nhận

Sau khi hoàn thành khóa học, học viên được cấp chứng nhận khóa học theo quy định của ITSTARVN.

Nội dung khóa học

1. Giới thiệu về bảo mật di động

• Tổng quan về các hệ điều hành di động phổ biến như Android và iOS.
• Các thách thức và mối đe dọa liên quan đến bảo mật di động.
• Khái niệm về kiểm thử bảo mật ứng dụng di động và các phương pháp kiểm thử.

2. Kiến trúc bảo mật của hệ điều hành di động

• Phân tích chi tiết về kiến trúc bảo mật của Android và iOS.
• Hệ thống sandboxing, quản lý quyền truy cập và kiểm soát ứng dụng.
• Các cơ chế bảo vệ dữ liệu và bảo mật người dùng của mỗi hệ điều hành.

3. Kỹ thuật thu thập thông tin và phân tích ứng dụng di động

• Các kỹ thuật thu thập thông tin về ứng dụng và thiết bị di động mục tiêu.
• Sử dụng các công cụ như ADB (Android Debug Bridge), iOS Simulators và các công cụ giám sát mạng để phân tích hành vi ứng dụng.
• Phân tích tĩnh và động các ứng dụng di động, bao gồm việc kiểm tra mã nguồn, tài liệu, và các cấu hình bảo mật.

4. Tấn công vào ứng dụng di động

• Các kỹ thuật khai thác lỗ hổng bảo mật trong ứng dụng di động.
• Tấn công man-in-the-middle (MITM) để đánh cắp dữ liệu và kiểm tra bảo mật mạng.
• Khai thác lỗ hổng bảo mật về lưu trữ dữ liệu, quản lý bộ nhớ và quản lý phiên làm việc của người dùng.

5. Bảo mật truyền thông và mã hóa

• Phân tích các giao thức truyền thông giữa ứng dụng di động và server backend.
• Sử dụng các công cụ phân tích mạng như Wireshark để kiểm tra an toàn giao tiếp dữ liệu.
• Kiểm tra việc sử dụng mã hóa trong ứng dụng và các lỗ hổng liên quan đến quản lý khóa mã hóa và chứng chỉ số.

6. Khai thác lỗ hổng trong ứng dụng Android

• Sử dụng các công cụ như Burp Suite, Drozer để kiểm thử và khai thác các lỗ hổng bảo mật trong ứng dụng Android.
• Phân tích và khai thác các lỗi trong file APK, xác thực đầu vào, và các cấu hình bảo mật không an toàn.
• Tấn công và phân tích các lỗ hổng trong hệ thống Android WebView.

7. Khai thác lỗ hổng trong ứng dụng iOS

• Sử dụng các công cụ như Frida, Cycript để khai thác các lỗ hổng bảo mật trên iOS.
• Phân tích lỗ hổng trong hệ thống iOS sandboxing, Keychain và các dịch vụ của Apple.
• Tấn công vào các ứng dụng không tuân thủ quy chuẩn bảo mật và các lỗ hổng về xác thực đầu vào trên iOS.

8. Báo cáo kiểm thử bảo mật ứng dụng di động

• Xây dựng báo cáo kiểm thử bảo mật di động chuyên nghiệp.
• Đưa ra các giải pháp khắc phục, cải thiện an ninh ứng dụng.
• Cung cấp đánh giá về rủi ro bảo mật, mức độ ảnh hưởng và khả năng khai thác.