وب آموز اولین و برترین وب سایت ارائه دهنده آموزش الکترونیکی دوره های امنیت اطلاعات هست که با استفاده از افراد مجرب و متخصص محتوای بسیار به روز و کاملی برای دانشجویان ارائه میدهد و در انتها مدرک معتبری از طرف دانشگاه معتبر ایرانی و آمریکایی ارائه میدهد .وب آموز جدید ترین محتوای حوزه امنیت اطلاعات را در حوزه های امنیت وب و شبکه و موبایل ارائه میدهد که برای اولین بار اقدام به برگزاری دوره تست امنیت برنامه های اندرویدی کرده است که با جدیدترین و کاملترین سرفصل ها از مباحث مقدماتی تا مباحث پیشرفته برگزار میکند
دوره WAPTC (Webamooz Android Penetration Testing Course) با هدف آموزش متودولوژی و تکنیک های تشخیص و اکسپلویت کردن آسیب پذیری های مهم در نرم افزار های اندروید تهیه شده است. مخاطبین این دوره افرادی هستند که می خواهند وارد حوزه امنیت موبایل خصوصا پلتفرم اندروید شوند، از طرفی مفاهیم ارائه شده در این دوره برای افرادی که آشنایی اولیه با مباحث امنیت موبایل و اندروید دارند نیز بسیار کاربردی خواهد بود.
تمامی مباحث آموزش داده دارای دمو و نمونه عملی هستند که توسط دانش جو قابل پیاده سازی و انجام است. همچنین سعی شده از نرم افزارهای ارائه شده در مارکت های اندروید به عنوان هدف استفاده شود تا از آغاز کار، آسیب پذیری های واقعی هدف قرار داده شوند. پس از گذراندن این دوره شما می توانید نرم افزارهای مختلف را با استفاده از روش های نوین و ابزارهای بروز این حوزه مورد بررسی قرار داده و آسیب پذیری های آن ها را پیدا کرده و exploit آن ها را تولید کنید.
اگر قصد تحقیق در زمینه امنیت موبایل و اندروید را دارید این دوره می تواند به عنوان یک نقطه آغازین، به شما دید کافی را برای ادامه مسیر بدهد.
سرفصل دوره WAPTC :
- راه اندازی آزمایشگاه تست نفوذ
نصب و پیکربندی امولاتور، معرفی محیط توسعه اندروید، معرفی توزیع های لینوکس برای تست نفوذ اندروید
- معرفی سیستم عامل اندروید ( بوت شدن، معماری، ساختمان داده ها و سیستم فایل)
بررسی ماژولهای سیستم عامل اندروید، نسخهها و API Level های اندروید،مراحل بوت شدن سیستمعامل،ماشین مجازی Dalvik، مدل امنیتی و Sandbox در اندروید، مکانیزمهای ذخیرهسازی داده
- نرم افزارهای اندروید و ساختار فایل های APK، دسترسی ها و مدل امنیتی
ساختارها و اصطلاحات مربوط به نرمافزارهای اندروید، ساختار فایلهای APK، دسترسیها در اندروید، آنالیز فایل AndroidManifest.xml
روت کردن چیست؟ چرا نیاز به این کار وجود دارد؟
- راه اندازی ------ برای دستگاه اندرویدی (امولاتور و گوشی) نصب سرتیفیکت و سپس MITM ارتباطات عادیو SSL دستکاری داده
معرفی BurpSuite، بررسی ترافیک ارسالی توسط یک نرم افزار و import کردن سرتیفیکت Burp
- دور زدن Certificate Pinning
معرفی مکانیزم امنیتی Certificate Pinning و روش های دوز زدن آن
- مهندسی معکوس، آنالیز فایل های DEX، بازگردانی کد به Java
ساختار ماشین مجازی Dalvik در اندروید، بدست آوردن فایل smali و دستکاری آن، بازگردانی فایل Java
معرفی متد ها و ابزارهای آنالیز استاتیک
- آنالیز داینامیک، دیباگ کردن با JDB
- نشت داده از طریق log
- آسیب پذیری های احراز هویت
ضعف در مدیریت Session ها، ذخیره اطلاعات هویت کاربر در سمت Client
- نشت اطلاعات از طریق Content Provider ها
- ذخیره نا امن داده (Shared prefs، SQLite)
- ضعف در رمزنگاری
- هوک کردن خودکار با Introspy
- Inspeckage معرفی نرم افزار آنالیز و هوکینگ خودکار با نام
- هوکینگ و تغییر رفتار نرم افزار ها به صورت داینامیک با فریمورک های Frida، Cydia Substrate و Xposed Framework
- مسیر پیش رو و پروژه نهایی