Corso di formazione di Mobile Secure Coding

Il corso di Mobile Secure Coding consente di sviluppare competenze teoriche e pratiche avanzate per lo sviluppo di applicazioni iOS sicure sviluppate tramite linguaggio Swift nonché di applicazioni sicure per la piattaforma Android.

PREMESSA
Il corso di Mobile Secure Coding consente di sviluppare competenze teoriche e pratiche avanzate per lo sviluppo di applicazioni iOS sicure sviluppate tramite linguaggio Swift nonché di applicazioni sicure per la piattaforma Android.
Attraverso molteplici esercitazioni pratiche, lo studente sarà in grado di applicare le remediation più aggiornate ed efficaci nonché verificare in che modo un hacker potrebbe sfruttare le vulnerabilità eventualmente presenti sulle applicazioni.

OBIETTIVO DEL CORSO
L’obiettivo è quello di uniformare le competenze in ambito iOS e Android Security su tutti i membri del team.
Il linguaggio di riferimento utilizzato per la parte iOS è Swift.

DESTINATARI: il corso è destinato a sviluppatori iOS e Android senior che vogliono approfondire le best practice di sicurezza mobile applicativa.

TRAINER
Esperienza pluriennale come Senior Security Consultant in una delle più importanti società italiane di consulenza nel settore della Sicurezza Applicativa. In tale ruolo ha effettuato l’esecuzione di Penetration Test e Secure Code Review nei confronti di applicazioni finanziarie e sistemi critici web e mobile, nonchè Vulnerability Assessment e Network Penetration Test per le più importanti aziende enterprise e istituzioni finanziarie italiane ed internazionali.
Come trainer ha effettuato training on-site relativamente ad argomenti di Web e Mobile Security per clienti italiani ed internazionali.
Nel Marzo 2015, nel corso di un lavoro di ricerca su iOS Security, ha scoperto una vulnerabilità sulla libreria AFNetworking che ha ottenuto un’attenzione a livello mondiale in quanto diffusamente utilizzata.
È inoltre un collaborator OWASP ed ha contribuito alla traduzione italiana della OWASP Testing Guide v4, come speaker per il Security Summit italiano, e nel 2016 come trainer presso l’OWASP AppSec Europe.

NATURA DEL CORSO
Il corso si svilupperà tramite erogazione in aula: la metodologia prevede l’alternarsi di lezioni frontali, interazione di gruppo e molteplici esercitazioni pratiche.
Verrà eseguito un setup di un laboratorio per testare le applicazioni iOS dal punto di vista della sicurezza.

PROGRAMMA DEL CORSO
1.Introduzione Generale:
▪ Principi di Mobile Code Security
▪ OWASP Mobile Top 10 Risks
2.iOS:
▪ Feature di sicurezza di iOS
▪ Swift Security
▪ Vulnerabilità ed esercitazioni
   – Local Data Storage (Preferences Files, Keychain, Data Protection API, SQLite database)
   – Networking (SSL and Certificate Pinning, Alamofire & AFNetworking, Vulnerabilità in libreria di terze parti, ATS)
   – Unintended Data Leakage (Log Disclosure, Pasteboard leakage, Keyboard logging leakage, Snapshot leakage, Insecure Caching)
   – Autenticazione biometrica (TouchID & FaceID)
   – Dati hardcoded e offuscamento 
   – Vulnerabilità crittografiche
   – Vulnerabilità di Input Validation (SQL Injection (client-side), Cross-Site Scripting)
   – Comunicazione tra applicazioni (URL Schemes, Universal Links)
  – Jailbreak Detection
  – Runtime Analysis Protection
  – Analisi e manipolazione di un’applicazione a runtime
  – Analisi su applicazioni reali presenti sull’App Store
3. Android
▪ Feature di sicurezza di Android
▪ Vulnerabilità ed esercitazioni
   – Android Permission Model
   – Local Data Storage (SharedPreferences, Keystore, SQLite database, External Storage)
  – Networking (SSL and Certificate Pinning, Pinning tramite librerie di terze parti (Retrofit, OkHTTP), Android Network Security Configuration)
  – Componenti (Intent, Activity, Content Provider, Broadcast Receiver, Service)
  – Unintended Data Leakage (Log Disclosure, Clipboard leakage, Leaking Content Providers, Insecure Caching, Screenshot Prevention)
   – Autenticazione biometrica
  – Dati hardcoded e offuscamento
  – Vulnerabilità crittografiche
  – Vulnerabilità di Input Validation (SQL Injection (client-side), Cross-Site Scripting)
  – Root Detection
  – Runtime Analysis Protection
  – Analisi e manipolazione di un’applicazione a runtime

Scopri gli altri corsi sulla Sicurezza Informatica!

MOBILE SECURE CODING
Senior Security Consultant

Il corso ha una durata di 5 giorni.

 

Questo corso viene erogato solo in modalità dedicata: per questa tipologia, la quotazione è a giornata (su richiesta) e gli argomenti possono essere personalizzati in base alle proprie necessità formative.

AGENDA

    1.Introduzione Generale:
    ▪ Principi di Mobile Code Security
    ▪ OWASP Mobile Top 10 Risks
    2.iOS:
    ▪ Feature di sicurezza di iOS
    ▪ Swift Security
    ▪ Vulnerabilità ed esercitazioni
    3. Android
    ▪ Feature di sicurezza di Android
    ▪ Vulnerabilità ed esercitazioni