40 giờ

Nguy cơ mất an toàn thông tin luôn rình rập xung quanh mỗi cá nhân và tổ chức, doanh nghiệp. Các biện pháp kiểm soát truy cập, tường lửa, hệ thống phát hiện xâm nhập và hệ thống phòng chống xâm nhập là một phần không thể thiếu của việc bảo mật ứng dụng nhờ đặt ra phòng thủ vòng ngoài. Tuy nhiên, các cơ chế này không ngăn chặn các cuộc tấn công vào hệ thống do các ứng dụng không được thiết kế và phát triển theo các yêu cầu khắt khe về tính bảo mật.

Khóa học cung cấp cho người học hiểu được các kiểu tấn công phổ biến trên các thiết bị di động và cách thức để phát triển ứng dụng di động có tính bảo mật cao.

Hiểu được các kiểu tấn công phổ biến trên thiết bị di động.

Hiểu được các trường hợp điển hình (best practices) mà các lập trình viên cần quan tâm để phát triển ứng dụng có tính bảo mật cao.

Lập trình viên Android, iOS.

Biết lập trình Android, iOS ở mức cơ bản.

Sau khi hoàn tất khóa học, học viên sẽ được cấp chứng nhận hoàn tất khóa học theo quy định của Cecomtech.

Phần 1: Các Kiểu Tấn công Di động Phổ biến

Các cuộc tấn công dựa trên trình duyệt

Các cuộc tấn công dựa trên điện thoại/SMS

Các cuộc tấn công dựa trên hệ điều hành

Các cuộc tấn công vào mạng

Các cuộc tấn công dựa trên máy chủ web

Các cuộc tấn công cơ sở dữ liệu

Phần 2: Các Thực hành Mã hóa

Các cuộc tấn công dựa trên trình duyệt

Các cuộc tấn công dựa trên điện thoại/SMS

Các cuộc tấn công dựa trên hệ điều hành

Các cuộc tấn công vào mạng

Các cuộc tấn công dựa trên máy chủ web

Các cuộc tấn công cơ sở dữ liệu

Hiểu về Xóa dữ liệu an toàn

Tránh sử dụng Chuỗi truy vấn (Query String) cho dữ liệu nhạy cảm

Phần 3: Xử lý Dữ liệu Nhạy cảm

Triển khai Lưu trữ dữ liệu an toàn

Sử dụng Cài đặt AN TOÀN cho Cookie

Xác thực đầy đủ SSL/TLS

Bảo vệ chống lại SSL Strip

Hạn chế sử dụng UUID

Xử lý Dữ liệu vị trí địa lý cẩn thận

Thiết lập Thời gian chờ phiên cục bộ

Triển khai Xác thực nâng cao / Hai yếu tố

Bảo vệ Cài đặt ứng dụng

Ẩn số tài khoản và sử dụng Mã thông báo (Tokens)

Triển khai Truyền tải mạng an toàn dữ liệu nhạy cảm

Xác thực Đầu vào từ máy khách

Phần 4: Bộ nhớ đệm và Ghi nhật ký

Tránh Bộ nhớ đệm dữ liệu ứng dụng

Tránh Nhật ký sự cố

Hạn chế Bộ nhớ đệm Tên người dùng

Quản lý cẩn thận Nhật ký gỡ lỗi

Lưu ý về Bộ nhớ đệm bàn phím

Lưu ý về Sao chép và Dán

Phần 5: WebViews

Ngăn chặn Tạo khung (Framing) và Clickjacking

Bảo vệ chống lại CSRF với các mã thông báo biểu mẫu

Phần 6: iOS

Sử dụng Keychain cẩn thận

Tránh Ảnh chụp nhanh ứng dụng được lưu vào bộ nhớ đệm

Sử dụng Đếm tham chiếu tự động (ARC)

Phần 7: Android

Triển khai Quyền truy cập tập tin cẩn thận

Triển khai Intent cẩn thận

Kiểm tra Hoạt động (Activities)

Sử dụng Broadcasts cẩn thận

Triển khai PendingIntents cẩn thận

Bảo vệ Dịch vụ ứng dụng

Tránh Đánh hơi Intent (Intent Sniffing)

Triển khai Nhà cung cấp nội dung (Content Providers) cẩn thận

Tuân thủ các Thực hành tốt nhất về WebView

Tránh lưu trữ Ảnh máy ảnh được lưu vào bộ nhớ đệm

Tránh Bộ nhớ đệm đối tượng GUI

Ký APK Android

Phần 8: Máy chủ

Triển khai Cấu hình máy chủ web phù hợp

Cấu hình SSL phía máy chủ đúng cách

Sử dụng Quản lý phiên phù hợp

Bảo vệ và Kiểm thử xâm nhập các dịch vụ web

Bảo vệ Tài nguyên nội bộ