Schulung

Secure Coding für Mobile Apps

Application Security für Entwickler von Android und/oder iOS Apps

Auch als interaktive Online-Schulung verfügbar.

Diese Schulung gibt Antworten auf folgende Fragen:

Wie sehen realistische Angriffe aus und was sind die Konsequenzen?

Wie lassen sich hier Fehler bereits in der Entwurfsphase vermeiden?

Wie vermeide ich gängige Umsetzungsfehler?

Wie identifiziere ich Schwachstellen in bestehendem Code?


Beschreibung

Die Arbeit mit realistischen Code-Beispielen und zahlreichen eingeflochtenen Übungen stellen den zentralen Gedanken dieses stark technisch ausgerichteten Seminars dar. Durch die Vermittlung verbreiteter Angriffsvektoren und Schwachstellen sowie entsprechender Gegenmaßnahmen werden die Teilnehmer befähigt, in Zukunft sicher(er)en Programmcode zu produzieren und potentielle neuralgische Stellen einer mobilen Anwendung angemessen zu reflektieren. Einzeln oder in kleinen Gruppen werden in unserer modernen Schulungsumgebung realistische Schwachstellen identifiziert, korrigiert, Lösungen verifiziert und diskutiert. Folgende Fragestellungen werden dabei spezifisch zum behandelten Szenario immer wieder adressiert:

  • Wie sehen realistische Angriffe aus und was sind die Konsequenzen?

  • Wie lassen sich hier Fehler bereits „theoretisch“ (z.B. in der Design-/Entwurfsphase) vermeiden bzw. einschränken?

  • Wie vermeide ich gängige Umsetzungsfehler?

  • Wie identifiziere ich Schwachstellen im bestehenden Code?

Im Verlauf der Schulung wird eine, hinsichtlich der zentralen „Mobile OWASP Top 10 Schwachstellen“, initial unsichere Android-Anwendung gemeinsam immer wieder statisch und dynamisch analysiert. Die Teilnehmer korrigieren die eingebauten Schwachstellen anschließend selbstständig, diskutieren und verifizieren das korrigierte Verhalten zur Laufzeit. Unsere moderne Schulungsumgebung gewährleistet dabei einen effizienten Zugriff auf das Übungsmaterial. Die Lösungen der Teilnehmer werden teilweise automatisch überprüft, wordurch jeder Teilnehmer unabhängiges und der jeweiligen Geschwindigkeit angepasstes Feedback über seinen eigenen Lernerfolg erhält.

Sämtliche Inhalte können in Absprache mit Ihnen spezifisch für Sie angepasst werden!


Kursinhalt

  • Codebeispiele: Android und iOS

  • Übungen: Android App

  • Übergreifende Szenarien-Strukturierung

    • Eingabe- und Ausgabebehandlung

    • Authentifizierung und Passwort Management

    • Interprozess-Kommunikation

    • Session Management

    • Zugriffskontrolle

    • Kryptographie

    • Datenablage / -schutz

    • Fehlerbehandlung und Logging

    • Kommunikationssicherheit

    • Systemkonfiguration

    • Datenbank Sicherheit

    • Dateimanagement

    • Speicherverwaltung

  • Auswahl betrachteter Querschnittsthemen (anpassbar):

    • Platformspezifische Sicherheitsfeatures

    • SQLite / -Cipher

    • (Shared) Preferences

    • Keychain / Keystore

    • Spongy Castle

    • Backup


Zusatzmodul “Bring your own code”

Stellen Sie uns im Vorfeld beliebigen eigenen Code zur Verfügung. Wir bereiten die Schulungsinhalte so auf, dass Ihr Code während der Schulung als Untersuchungsgegenstand und Anschauungsmaterial nutzbar wird. Die Schulung wird dadurch lebendiger und für die Teilnehmer ergibt sich, neben dem sehr praxisbezogenen Erlernen des Themas, der unmittelbare Begleitnutzen der Erkennung und Diskussion echter Schwachstellen in der eigenen Anwendung.

Ablauf der Voruntersuchung:

1. Ihr gelieferter Code wird durch unsere inhouse bereitgestellten Scanner analysiert - keine Ihrer Code-Zeilen verlässt dabei unser Netzwerk!

2. Eine lokal bereitgestelltes, auf Code spezialisiertes LLM bewertet die gelieferten Findings vollautomatisch, filtert False-Positives aus und versieht die restlichen Findings mit einer Kritikalität.

3. Der Schulungsleiter bewertet die kritischsten Findings und entscheidet, welche davon schulungsrelevant sind.

4. In der Schulung wird auf die gefundenen Schwachstellen eingegangen. Entsprechende Gegenmaßnahmen können dadurch sehr praxisnah in der Gruppe diskutiert und bei Bedarf auch vertieft werden.


Facts

Zielgruppe

  • Softwareentwickler

  • Architekten

  • Projektleiter

Dauer

2 bis 3 Tage

Unser Schulungsangebot richtet sich an Unternehmen und Organisationen. Schon ab drei Teilnehmern kann eine Schulung wirtschaftlich sein. Diese findet bei Ihnen im Haus statt oder wird von uns in Ihrer Wunschumgebung organisiert.


Trainer

Unsere Trainer sind aktiv tätige erfahrene Security Consultants

Zurück
Zurück

Secure Coding für Java

Weiter
Weiter

DevSecOps: Sicherheit in der CI/CD Pipeline