Accueil › Formations › Informatique › Cybersécurité › Sécurité offensive › Tests d'intrusion sur iOS
Objectifs pédagogiques
- Mener une analyse sécurité sur une application iOS
- Appréhender les concepts du développement sécurisé pour iOS.
Niveau requis
Avoir une bonne connaissance des réseaux, des systèmes et de la sécurité.
Public concerné
Pentesters, auditeurs, développeurs et responsables de la sécurité des systèmes d'information (RSSI).
Programme
Jour 1
Architecture et sécurité
- Fonctions de sécurité
- Architecture iOS
Méthodologie et techniques
- Etapes d'un audit et prérequis
- OWASP (Open Web Application Security Project) Mobile Security Testing Guide
- OWASP Mobile AppSec Verification Standard
Cibles
- Applications de test : DVIA (Damn Vulnerable iOS Application), iGoat
- Applications de l'App Store
Environnement de test
- Outils et terminaux
- Jailbreak et virtualisation
Exemple de travaux pratiques (à titre indicatif)
- Prise en main
Analyse statique
- Analyse du code source
- Rétro-ingénierie
Exemples de travaux pratiques (à titre indicatif)
- Strings / MobSF
- Class-dump / Hopper / Ghidra
Sécurité des données
- Mise en cache et journaux
- Fichiers plist et bases de données
- Sauvegardes
Exemples de travaux pratiques (à titre indicatif)
- iGoat / Needle
- MyTom
Jour 2
Analyse dynamique
- Rétro-ingénierie
- Trace / Hooking
- Contournement de fonctions sécurité
- Side-loading
Exemples de travaux pratiques (à titre indicatif)
- Cycript, Frida
- Frida, Objection
- Code PIN, jailbreak
- IPAPatch / Resign
Sécurité des communications
- Analyse des communications réseau
- Contournement des vérifications SSL (Secure Socket Layer) / TLS (Transport Layer Security)
- Fuite d'informations sensibles à des tiers
Exemples de travaux pratiques (à titre indicatif)
- rvitcl, Wireshark, Burp Suite, Charles Proxy
- iGoat / Burp Suite
Pegasus - Trident
- CVE-2016-4657
- Post-exploitation (accès aux SMS, images, caméras...)
Exemple de travaux pratiques (à titre indicatif)
- Exploitation avec Metasploit
