Mobil Uygulama Güvenlik Denetimi Eğitimi

Eğitim Açıklaması

Mobil sistemlerin gündelik yaşantıda hızlı bir şekilde yerini alması, kurumsal firmaların iş yapış şekillerinde köklü değişimi de beraberinde getirmiştir. Şirket çalışanlarının mobil sistemler üzerinden iş süreçlerini yönetme çabaları kurumsal sistem güvenliği anlamında uygulama geliştiriciler için bir tehdit unsuru oluşturmaktadır. Kurumların geliştirdiği mobil uygulamalar ve kurum çalışanlarının sistemlerine kurdukları mobil uygulamalar ciddi riskleri de beraberinde getirmektedir.
Bu ihtiyaçlara yönelik olarak hazırlanan “Mobil Uygulama Güvenlik Denetimi” eğitiminde mobil sistemlere yönelik güncel tehditler ve bu tehditler karşısında alınması gereken önlemlerle birlikte mobil uygulamaların standartlara uygun olarak güvenlik testlerinin yapılması amaçlanmaktadır.
Mobil uygulama güvenlik denetimi eğitimi(Mobile Application Pentest) iOS ve Android platformları için çeşitli simülasyonlar kullanılarak gerçekleştirilmekte ve OWASP Top 10 Mobil Uygulama Güvenlik Denetimi listesini kapsamaktadır.

Eğitim Kodu

YOK

Eğitim Seviyesi

Uzman Seviyesi

Kimler Katılmalı

Bu eğitim, IT güvenlik görevlileri, denetçiler, güvenlik uzmanları, site yöneticileri ve ağ altyapı bütünlüğü konusunda çalışmalar yapan herkes için önemli ölçüde yarar sağlayacaktır.

Ön Gereksinimler

Temel programlama bilgisine sahip herkes katılabilmektedir.

Eğitim Süresi

2 Gün

Sertifika

Eğitime katılanlara, BGA tarafından katılım sertifikası verilecektir.

Eğitim İçeriği

Mobil Dünyada Genel Kavramlar

• Mobil Dünya Tanımı
• Mobil Dünyada İşletim Sistemli ve Platformlar
• BlackBerry, Windows Mobile, Android, iOS, Symbian
• MDM(Mobile Device Management) Kavramı
• BYOD Kavramı ve Kurumsal Ortamlar için Getirdiği Riskler
• 2012 Yılına Ait Mobil Güvenlik Raporları

Android, iOS Dünyasına Giriş

• Anrdoid İşletim Sistemi Temelleri
• Güvenlik Açısından Android, iOS Karşılaştırması
• Mobil Uygulama Güvenlik Denetimi için Ortam Oluşturma
• iPhone ve iPad icin test ortamı oluşturma
• iOS SDK Yükleme, XCode Ayarları
• XCode üzerinden iPhone simulatoru çalıştırma
• XCode üzerinden iPad simulatoru çalıştırma
• iPad/iPhone uygulamalarını decompile etme
• Jabilbreak Kavramı, Getirileri ve Riskleri
• Android Uygulamaları için Test Ortamı Oluşturma
• Android Emulator Kurulumu ve Yönetimi (adb)

Mobil Uygulama Güvenlik Denetimleri Başlıkları

• Bilgi toplama
• Dinamik Analiz
• Statik Analiz
• Bilgi Toplama Adımları
• Mobil Uygulama İletişim Yöntemlerinin Belirlenmesi
• -Wifi, -NFC, -GSM, -3G, -Bluetooth
• İstemci-sunucu Arasında İletişim amaçlı Kullanılan Protokollerin Güvenlik Analizi
• Uygulamaların iletişim kurduğu Açık Sistemlerin Belirlenmesi
• Dinamik Analiz İçin Gerekli Bileşenler

Mobil Uygulama Test Araçları

• Mobil Sistemlerde Çıkmış güvenlik Zafiyetleri
• Mobil Uygulamalarda Araya Girme ve Parametre Manipülasyonu

Owasp Top 10 Mobile App. Security Denetimi

• M1: Insecure Data Storage
• M2: Weak Server Side Controls
• M3: Insufficient Transport Layer Protection
• M4: Client Side Injection
• M5: Poor Authorization and Authentication
• M6: Improper Session Handling
• M7: Security Decisions Via Untrusted Inputs
• M8: Side Channel Data Leakage
• M9: Broken Cryptography
• M10: Sensitive Information Disclosure

Statik Analiz İçin Gerekli Bileşenler

• Mobil Uygulama Kaynak Kod Denetimi
• Mobil Uygulama Binary(ikili dosya) Analizi
• Mobil Uygulama Decompile İşlemleri
• Kaynak Kod Analizi için Kullanılan Araçlar
  • Ticari araçlar
  • Açık kaynak, ücretsiz araçlar
• Binary Analizi Amaçlı Kullanılan Araçlar
• Mobil Sistemlerde Adli Bilişim Analizi Temelleri
• Mobil Sistemlerde Zararlı Yazılım Analiz Yöntemleri