Amaç
Katılımcıların mobil uygulamalarla ilgili statik ve dinamik analiz yapabilmelerini ve istemci tarafında oluşabilecek açıklıkları tespit edebilmelerini hedeflemektedir. Mobil uygulamaların kullandığı HTTP servisleri ile ilgili açıklık türleri ve testler Mobil Uygulamalar Güvenlik Denetimi Eğitimi’nin kapsamında değildir.
Eğitim kapsamı iOS ve Android cihaz uygulamalarına odaklıdır.
İçerik
- Mobil uygulama platformları
- iOS ve Xcode ortamı
- Android, Android SDK ve Eclipse ADT ortamı
- Windows Mobile ve Visual Studio ortamı
- Blackberry OS, Blackberry Java Plugin ve Eclipse ortamı
- Uygulama imzalama ve sonuçları
- Uygulama mağazaları
- Genel derleme ve çalışma ortamı kavramları
- Derleme teorisi
- Makine diline derleme
- Ortak kütüphane kodları
- Byte level derleme ve sanal makine teknolojisi
- Intel ve ARM işlemci mimarilerine giriş
- Mobil uygulamalar için sunucu test yöntem ve araçları temel bilgileri
- Android uygulama testi
- Örnek bir Android uygulaması
- APK dosya içeriği
- Android emülatör ve Android cihaz rooting
- ADB aracı
- Cihaz üzerinde inceleme yapmak için faydalı araçlar (Busybox, pentest ve forensic araçları)
- Dalvik sanal makine kodları
- Dex dosya formatının Jar formatına çevrilmesi
- Java kodlarının incelenmesi
- Smali kodu yama geçme
- Shared preferences ve SQLite veritabanı dosyaları
- Temel kriptolama ve kodlama (encoding) kavramları
- Java obfuscation
- iOS uygulama testi
- Örnek bir iOS uygulaması
- iOS cihazlar için Jailbrake işlemi
- Temel iOS pentest araçları ve kullanım amaçları
- IPA dosya içeriği
- iOS uygulaması kripto açma
- iOS uygulama sınıflarının listelenmesi
- gdb ile iOS debugging ve istemci taraflı kontrollerin aşılması
- iOS uygulamalarına binary yama geçme
- plist ve SQLite veritabanı dosyaları
- strings komutu ile ASCII veri inceleme
