Chiêu Sinh Khóa Học Mobile Hacking 2019 (Online)
Giới Thiệu Khóa Học Mobile Hacking (Hacking Android)
Chương trình Hacking Mobile được triển khai từ đầu năm 2018 đến nay đã có gần 100 học viên và được đánh giá cao. Nếu các bạn không biết chắc rằng điện thoại của mình có bị cài mã độc hay không ? Hoặc điện thoại của mình có bị ai giám sát như tình huống trong phim Mr Robot hay không ? Và họ đã là điều đó như thế nào ?
Nêu các bạn muốn biết cách kiểm tra lỗi của một ứng dụng Android với Drozer hay QARK, cách khai thác hay pentest một Android APP chuyên cho vấn đề khai thác là DIVA, cách thâm nhập điện thoại Android từ xa để đọc tin nhắn, xem danh bạ cũng như phương án phòng chống bảo vệ ?
Nếu bạn muốn biết cách cài đặt ứng dụng chống mất cắp, chụp mặt kẻ trộm hay giám sát trẻ em … thì khóa học này dành cho bạn. Đây là khóa học dành cho tất cả mọi người.
Hacking Android là khóa học đầu tiên được triển khai bởi Security365 vào cuối nằm 2017 cho các ngân hàng, sở thông tin truyền thông trên cả nước và là chương trình đào tạo trực tuyến đầu tiên tại VIỆT NAM do chuyên gia Nguyễn Trần Tường Vinh trực tiếp giảng dạy
Khóa học sẽ được mở rộng thêm các bài giảng cho phần iOS vào giữa năm 2019, trọng tâm chủ đạo hiện nay là Android.
Khóa học khai giảng vào ngày 1 và 15 hàng tháng.
Học Phí & Đăng Kí Học : 3.000.000 VND / (tài khoản giá trị 1 năm)
Đừng để mất bò mới lo làm chuồng, hãy bảo vệ điện thoại của mình, bảo vệ thông tin trên điện thoại của mình qua khóa học Hacking Android , một chương trình dành cho tất cả mọi người.
Kết thúc khóa học các bạn có thể hacking một điện thoại android và nắm vững cách phòng chống !
Android là nền tảng điện thoại thông minh phổ biến nhất hiện nay và cũng như các hệ thống khác Android cũng có những điểm yếu hay các lổ hỗng bảo mật có thể bị mã độc hay hacker / attacker khai thác qua đó chiếm quyền điều khiển smartphone của người dùng gây ra nhiều rắc rối, thiệt hại về cả vật chất lẫn tinh thần. Không như máy tính, một chiếc điện thoại ngày nay có cấu hình mạnh mẽ với nhiều chức năng quay phim, chụp ảnh và khả năng lưu trữ cao chứa nhiều dữ liệu riêng tư, nhạy cảm và bí mật của người dùng hơn bất kì thiết bị số nào.
Chính vì vậy, khóa học Mobile Hacking chuyên đề Hacking Android được xây dựng nhằm cung cấp những điểm mấu chốt trong kiến trúc an ninh của smartphone trên dòng Android có thể bị hacker hay malware khai thác, và những bài thực hành step by step giúp cho người học có thể thực hành tấn công cũng như nắm được cách để ngăn chặn, phát hiện và phòng chống các mối đe dọa, qua đó kiểu soát rũi ro và giảm thiểu chúng ở mức thấp nhất.
Khóa học cung cấp nhiều bài thực hành hay và “kinh điển” trong khai thác các điểm yếu bảo mật của Android như DIVA Lab, tạo APK malware với Metasploit và chiếm quyền điều khiển để đọc danh bạ, tinh nhắn hay cách sử dụng các ứng dụng spyware độc hại như phim Mr Robot cũng như cách phòng chống và phát hiện.
Đây là một trong những chương trình đào tạo được quan tâm nhiều nhất mà Security365 đã triển khai cho nhiều cơ quan và tổ chức lớn tại Việt Nam trong năm 2018.
Hình thức đào tạo : Online Anytime – Các bài học được cung cấp qua hệ thống Learning Manager System, học viên có thể onlien để theo dõi vào bất kì thời gian nào. Hàng tháng sẽ có các buổi Serminar Online qua hệ thống Live Webinar để thảo luận các bài học quan trọng và nên tảng
Liên hệ đăng kí : Để đăng kí các bạn hãy tiến hành đóng học phí qua chuyển khoản đến tài khoản sau và gởi thông tin đăng kí học gồm họ tên, thông tin ủy nhiệm chi (hình ảnh chuyển khoản) và tên lớp học đến địa chỉ email DongDuongICT@Gmail.Com Chủ tài khoản : Nguyễn Thị Quỳnh Viên. Số tài khoản
- Ngân hàng VCB chi nhánh Bình Thạnh : 018 1000 525399
- Ngân hàng TCB chi nhánh Daklak : 19030938645016
Email : DongDuongICT@Gmail.Com | Admin : https://www.facebook.com/vosimaytinh
Tài khoản sẽ cấp trong vòng 24 tiếng !
Sau khi đăng kí các bạn sẽ được cấp 1 tài khoản học tập có thời hạn tương ứng trên nền tảng Office365 để có thể tham khảo các bài học vào bất kì thời gian nào. Ngoài ra, tài khoản còn bao gôm các tình năng khác của Office365 như hệ thống lưu trữ đám mây OneDrive với dung lượng lên đến 5 TB.
Bài Học Mẫu
Nội Dung Chính Khóa Học Hacking ANDROID











Chapter 1: Setting Up the Lab
Installing the required tools
Java
Android Studio
Setting up an AVD
Real device
Apktool
Dex2jar/JD-GUI 21
Burp Suite
Confguring the AVDDrozer
Prerequisites
QARK (No support for windows)
Getting ready
Advanced REST Client for Chrome
Droid Explorer
Cydia Substrate and Introspy
SQLite browser
Vulnerable apps
Kali Linux
ADB Primer Checking for connected devices
Getting a shell
Listing the packages
Pushing fles to the device
Pulling fles from the device
Installing apps using adb
Troubleshooting adb connections
Summary
Chapter 2: Android Rooting
What is rooting?
Why would we root a device?
Advantages of rooting
Unlimited control over the device
Installing additional apps
More features and customization
Disadvantages of rooting
It compromises the security of your device
Bricking your device
Voids warranty
Locked and unlocked boot loaders
Determining boot loader unlock status on Sony devices
Unlocking boot loader on Sony through a vendor specifed method
Rooting unlocked boot loaders on a Samsung device
Stock recovery and Custom recovery
Prerequisites
Rooting Process and Custom ROM installation
Installing recovery softwares
Using Odin
Using Heimdall
Rooting a Samsung Note
Flashing the Custom ROM to the phone
Summary
Chapter 3: Fundamental Building Blocks of Android Apps
Basics of Android apps
Android app structure
How to get an APK fle?
Storage location of APK fles
/data/app/
/system/app/
/data/app-private/
Android app components
Activities
Services
Broadcast receivers
Content providers
Android app build process
Building DEX fles from the command line
What happens when an app is run?
ART – the new Android Runtime
Understanding app sandboxing
UID per app
App sandboxing
Is there a way to break out of this sandbox?
Summary
Chapter 4: Overview of Attacking Android Apps
Introduction to Android apps
Web Based apps
Native apps
Hybrid apps
Understanding the app’s attack surface
Mobile application architecture
Threats at the client side
Threats at the backend
Guidelines for testing and securing mobile apps
OWASP Top 10 Mobile Risks (2014)
M1: Weak Server-Side Controls
M2: Insecure Data Storage
M3: Insuffcient Transport Layer Protection
M4: Unintended Data Leakage
M5: Poor Authorization and Authentication
M6: Broken Cryptography
M7: Client-Side Injection
M8: Security Decisions via Untrusted Inputs
M9: Improper Session Handling
M10: Lack of Binary Protections
Automated tools
Drozer
Performing Android security assessments with Drozer
Installing testapp.apk
Listing out all the modules
Retrieving package information
Identifying the attack surface
Identifying and exploiting Android app vulnerabilities using Drozer
QARK (Quick Android Review Kit)
Running QARK in interactive mode
Reporting
Running QARK in seamless mode:
Summary
Chapter 5: Data Storage and Its Security
What is data storage?
Android local data storage techniques
Shared preferences
SQLite databases
Internal storage
External storage
Shared preferences
Real world application demo
SQLite databases
Internal storage
External storage
User dictionary cache
Insecure data storage – NoSQL database
NoSQL demo application functionality
Backup techniques
Backup the app data using adb backup command
Convert .ab format to tar format using Android backup extractor
Extracting the TAR fle using the pax or star utility
Analyzing the extracted content for security issues
Being safe
Summary
Chapter 6: Server-Side Attacks
Different types of mobile apps and their threat model
Mobile applications server-side attack surface
Mobile application architecture
Strategies for testing mobile backend
Setting up Burp Suite Proxy for testing
Proxy setting via APN
Proxy setting via Wi-Fi
Bypass certifcate warnings and HSTS
Bypassing certifcate pinning
Bypass SSL pinning using AndroidSSLTrustKiller
Setting up a demo application
Threats at the backend
Relating OWASP top 10 mobile risks and web attacks
Authentication/authorization issues
Session management
Insuffcient Transport Layer Security
Input validation related issues
Improper error handling
Insecure data storage
Attacks on the database
Summary
Chapter 7: Client-Side Attacks – Static Analysis Techniques
Attacking application components
Attacks on activities
What does exported behavior mean to an activity?
Intent flters
Attacks on services
Extending the Binder class:
Using a Messenger
Using AIDL
Attacking AIDL services
Attacks on broadcast receivers
Attacks on content providers
Querying content providers:
Exploiting SQL Injection in content providers using adb
Testing for Injection:
Finding the column numbers for further extraction
Running database functions
Finding out SQLite version:
Finding out table names
Static analysis using QARK:
Summary
Chapter 8: Client-Side Attacks – Dynamic Analysis Techniques
Automated Android app assessments using Drozer
Listing out all the modules
Retrieving package information
Finding out the package name of your target application
Getting information about a package
Dumping the AndroidManifes.xml fle
Finding out the attack surface:
Attacks on activities
Attacks on services
Broadcast receivers
Content provider leakage and SQL Injection using Drozer
Attacking SQL Injection using Drozer
Path traversal attacks in content providers
Reading /etc/hosts
Reading kernel version
Exploiting debuggable apps
Introduction to Cydia Substrate
Runtime monitoring and analysis using Introspy
Hooking using Xposed framework
Dynamic instrumentation using Frida
What is Frida?
Prerequisites
Steps to perform dynamic hooking with Frida
Logging based vulnerabilities
WebView attacks
Accessing sensitive local resources through fle scheme
Other WebView issues
Summary
Chapter 9: Android Malware
What do Android malwares do?
Malware analysis
Static analysis
Disassembling Android apps using Apktool
Decompiling Android apps using dex2jar and JD-GUI
Dynamic analysis
Analyzing HTTP/HTTPS traffc using Burp
Analysing network traffc using tcpdump and Wireshark
Tools for automated analysis
How to be safe from Android malwares?
Summary
Chapter 10: Attacks on Android Devices
MitM attacks
Dangers with apps that provide network level access
Using existing exploits
Malware
Bypassing screen locks
Bypassing pattern lock using adb
Removing the gesture.key fle
Cracking SHA1 hashes from the gesture.key fle
Bypassing password/PIN using adb
Bypassing screen locks using CVE-2013-6271
Pulling data from the sdcard
Hướng dẫn học tập
Truy cập lớp học tại đây
Comments