Formation Pentest Mobile

Logo Formation Technique d'Hacking et de Pentesting

2500€

2250€HT/ personne

5 jours (35 heures)

Interentreprises

­Paris

Disponible en intraentreprise pour former votre équipe.

Présentation

La sécurité mobile a parcouru un long chemin au cours des dernières années. Il est passé de « devrait-il être fait ? » à « ça doit être fait ! »

Parallèlement au nombre croissant d’appareils et d’applications, il y a également une augmentation du volume d’informations personnelles identifiables (PII), de données financières et bien plus encore. Ces données doivent être sécurisées.

C’est pourquoi le Pentesting est si important pour les développeurs d’applications modernes. Vous devez savoir comment sécuriser les données de l’utilisateur et trouver des vulnérabilités et des failles dans votre application qui pourraient entraîner des failles de sécurité.

Cette formation en cybersécurité vous donne les compétences nécessaires pour tester vos applications mobiles en tant que débutant, développeur ou professionnel de la sécurité. Vous commencerez par découvrir les composants internes d’une application Android et iOS. En allant de l’avant, vous comprendrez le fonctionnement inter-processus de ces applications. Ensuite, vous allez configurer un environnement de test pour cette application en utilisant divers outils pour identifier les failles et les vulnérabilités dans la structure des applications. Enfin, après avoir recueilli toutes les informations sur ces failles de sécurité, nous commencerons à sécuriser nos applications contre ces menaces.

 

Objectifs

  • Connaitre l’architecture des systèmes Android et iOS
  • Mise en place d’un environnement de test
  • Attaque sur les applications Android et iOS

 

Public visé

Développeurs, Chefs de projets, Techniciens SSI, Auditeurs, Pentesteurs ou RSSI.

 

Pré-requis

Avoir une bonne connaissance des réseaux, des systèmes, de la sécurité est un plus

Programme de la formation Pentesting Mobile

 

La sécurité des applications mobiles

  • La part de marché des smartphones
  • Différents types d’applications mobiles (Native, Mobile web, Hybrid)
  • Vulnérabilités publiques Android et iOS
  • Les principaux défis de la sécurité des applications mobiles
  • La méthodologie des tests de pénétration des applications mobiles (Découverte, Analyse / évaluation, Exploitation, Reporting)
  • Le projet de sécurité mobile OWASP

 

Fouiner dans l’architecture

  • L’importance de l’architecture
  • L’architecture Android
  • L’architecture iOS

 

L’environnement de test

  • Configuration de l’environnement de test de pénétration d’application mobile
  • Android Studio et SDK
  • Le pont de débogage Android
  • Configuration de l’émulateur pour le proxy HTTP
  • Google Nexus 5 – configuration de l’appareil physique
  • Le SDK iOS (Xcode)
  • Configuration de l’iPhone / iPad avec les outils nécessaires
  • Clients SSH – PuTTy et WinSCP
  • Émulateur, simulateurs et périphériques réels

 

Les outils de pentesting

  • Outils de sécurité Android
    • APKAnalyser
    • L’outil Drozer
    • APKTool
    • L’API dex2jar
    • JD-GUI
    • Androguard
    • Présentation de Java Debugger
  • Outils de sécurité iOS
    • oTool
    • SSL Kill Switch
    • The keychain dumper
    • LLDB
    • Clutch
    • Class-dump-z
    • Instrumentation avec Cycript
    • Instrumentation utilisant Frida
    • Hopper
    • Snoop-it
    • Installation du certificat Burp CA sur un appareil iOS

 

Modélisation des menaces d’une application

  • Assets
  • Threats (Menaces)
  • Vulnérabilités
  • Risque
  • Approche des threat models
  • Threat modeling d’une application mobile

 

Attaques sur les applications Android

  • Configuration de l’application cible
  • Analyser l’application en utilisant Drozer
  • Composants Android
  • Attaquer WebViews
  • Injection SQL
  • Les attaques Man-in-the-Middle (MitM)
  • Informations d’identification codées en dur
  • Cryptage et décryptage du côté client
  • Manipulation en Runtime en utilisant JDWP
  • Stockage / Archivage
  • Analyse des Logs
  • Évaluation des vulnérabilités de mise en œuvre
  • Correctif binaire

 

Attaques sur les applications iOs

  • Configuration de la cible
  • Stockage / Archivage
  • Ingénierie inverse
  • Analyse de code statique
  • Application de correction à l’aide de Hopper
  • Nom d’utilisateur et mot de passe codés en dur
  • Manipulation d’exécution en utilisant Cycript
  • Dumpdecrypted
  • Injections côté client
  • Les attaques Man-in-the-Middle
  • Vulnérabilités d’implément
  • Construire un traceur distant en utilisant LLDB
  • Snoop-IT pour l’évaluation

 

Sécuriser vos applications Android et iOs

  • Sécurisé par la conception
  • Carte mentale de sécurité pour les développeurs (iOS et Android)
  • Niveau du périphérique
  • Niveau de réseau
  • Niveau du serveur
  • Liste des sécurités mobile OWASP
  • Meilleures pratiques de codage sécurisé
  • Protection après production
Langues et Lieux disponibles

Langues

  • Français
  • Anglais / English

Lieux

  • France entière
    • Paris
    • Lille
    • Reims
    • Lyon
    • Toulouse
    • Bordeaux
    • Montpellier
    • Nice
    • Sophia Antipolis
    • Marseille
    • Aix-en-Provence
    • Nantes
    • Rennes
    • Strasbourg
    • Grenoble
    • Dijon
    • Tours
    • Saint-Étienne
    • Toulon
    • Angers
  • Belgique
    • Bruxelles
    • Liège
  • Suisse
    • Genève
    • Zurich
    • Lausanne
  • Luxembourg

Témoignages

Donnez votre avis ?

Afficher tous les témoignages

Donnez votre avis ?

Noter la formation

2500€

2250€HT/ personne

5 jours (35 heures)

Interentreprises

­Paris

Disponible en intraentreprise pour former votre équipe.

Une question ? Un projet ?

Pour des informations complémentaires, n’hésitez pas à nous contacter.