Accueil    Formations    Informatique    Cybersécurité    Sécurité offensive    Tests d'intrusion sur iOS

Partager cette formation Télécharger au format pdf Ajouter à mes favoris

Objectifs pédagogiques

  • Mener une analyse sécurité sur une application iOS
  • Appréhender les concepts du développement sécurisé pour iOS.

Niveau requis

Avoir une bonne connaissance des réseaux, des systèmes et de la sécurité.

Public concerné

Pentesters, auditeurs, développeurs et responsables de la sécurité des systèmes d'information (RSSI).

Programme

Jour 1

Architecture et sécurité

  • Fonctions de sécurité
  • Architecture iOS

Méthodologie et techniques

  • Etapes d'un audit et prérequis
  • OWASP (Open Web Application Security Project) Mobile Security Testing Guide
  • OWASP Mobile AppSec Verification Standard

Cibles

  • Applications de test : DVIA (Damn Vulnerable iOS Application), iGoat
  • Applications de l'App Store

Environnement de test

  • Outils et terminaux
  • Jailbreak et virtualisation
Exemple de travaux pratiques (à titre indicatif)
  • Prise en main

Analyse statique

  • Analyse du code source
  • tro-ingénierie
Exemples de travaux pratiques (à titre indicatif)
  • Strings / MobSF
  • Class-dump / Hopper / Ghidra

Sécurité des données

  • Mise en cache et journaux
  • Fichiers plist et bases de données
  • Sauvegardes
Exemples de travaux pratiques (à titre indicatif)
  • iGoat / Needle
  • MyTom

Jour 2

Analyse dynamique

  • tro-ingénierie
  • Trace / Hooking
  • Contournement de fonctions sécurité
  • Side-loading
Exemples de travaux pratiques (à titre indicatif)
  • Cycript, Frida
  • Frida, Objection
  • Code PIN, jailbreak
  • IPAPatch / Resign

Sécurité des communications

  • Analyse des communications réseau
  • Contournement des vérifications SSL (Secure Socket Layer) / TLS (Transport Layer Security)
  • Fuite d'informations sensibles à des tiers
Exemples de travaux pratiques (à titre indicatif)
  • rvitcl, Wireshark, Burp Suite, Charles Proxy
  • iGoat / Burp Suite

Pegasus - Trident

  • CVE-2016-4657
  • Post-exploitation (accès aux SMS, images, caméras...)
Exemple de travaux pratiques (à titre indicatif)
  • Exploitation avec Metasploit

Partager cette formation Télécharger au format pdf Ajouter à mes favoris

Vous souhaitez suivre cette formation ?

Cette formation est disponible en présentiel ou en classe à distance, avec un programme et une qualité pédagogique identiques.

Choisissez la modalité souhaitée pour vous inscrire :

Modalité Présentiel, Classe à distance

Votre société a besoin d'une offre personnalisée ? Contactez-nous

Faites-nous part de votre projet de formation, nous sommes là pour vous guider.

Contactez-nous