iOS应用安全Part38:iOS中的Parse安全

最新推荐文章于 2020-07-23 16:13:36 发布
最新推荐文章于 2020-07-23 16:13:36 发布
阅读量671 收藏
点赞数
分类专栏: iOS 文章标签: iOS Parse 应用安全 云数据存储 漏洞

【说明】英文原文发表时间:2015.1.29,原文链接:点击这里

Parse(解析)是一个很不错的BaaS(后端即服务),它有助于为你的移动应用尽可能快地建立后端基础设施。也许正是因为它的简洁性,很多开发者忘记了许多新的安全问题和其中存在的漏洞。

如果你不知道这个服务是什么,那么我就做一个简单的介绍。Parse为移动开发者提供了很多有功的功能:云数据存储、推送通知、使用统计、崩溃日志记录、代码托管、后台作业以及很多其他服务。我们比较感兴趣的是名为“Cloud Core”的云数据存储服务。
Cloud Core中所有的数据都存储在所谓的定制类(普通数据库表)中。

你可以为每一个类设置很多不同的客户端权限:GET、FIND、UPDATE、CREATE、DELETE和ADD FIELDS,这些权限默认情况下都是开放的。当然,一旦配置数据表之后,大多开发者都忘记了设置客户端访问权限。

在我做一个项目期间,我曾深入了解了Parse,并在正确配置ACLs上花费了很多时间,所以我开始对其他开发者如何维护他们的Parse账户感兴趣。恰巧的是,我刚好在parse.com/customers上发现了我感兴趣的东西,那就是Cubefree,一项用来定位蜷缩空间(cowering spaces)的服务。
从移动应用连接Parse账户需要两个密钥:应用ID和客户端密钥。为了修改Cloud Core上的数据,我首先找到了这些字符串。接着,我们使用idb来解密应用程序的二进制文件,idb是一款非常不错的iOS渗透测试工具。在解密进行过程中,我们可以检查一下NSUserDefaults,因为这是存储这类数据(针对不注重安全的开发者)的一个常用位置。


正如你所看到的,没有任何犯罪迹象被发现-没有机密数据的迹象。现在我们回到解密的应用二进制文件,然后将它们输入到Hopper中,Hopper是一款著名的反汇编软件,专门用来进行Objective-C应用程序的逆向工程。我们首先从应用中App Delegate的didFinishLaunchingWithOptions方法处开始寻找Parse密钥。Hopper中一个值得注意的特性是,它能够以伪代码的形式呈现任何程序代码,这使得逆向之后的代码理解起来不那么吃力。

正如所料的,与Parse的连接在这里进行了初始化。现在我们分析一下Parse数据的结构以及客户端权限。
下一步就是识别Parse表名称。实际上,我们可以在客户端密钥的那张截图中看到Parse表名称,并且有很多registerSubclass方法调用,这些类都是类PFObject的子类。每一个子类中都拥有一个方法parseClassName,该方法返回一个对应的Parse表名称。

然后,让我们检查一下这些表的结构:
https://gist.github.com/igrekde/cb8e2c12408715c9f739 file-parse-security-1 
然而,光有类组织关系的知识还是不够的。我们还需要检查所有Parse类的访问权限,来确定如何影响应用程序的行为。很简单,我们要做的就是发送两个查询请求到Parse,然后分析它们的返回结果。为此,我写了一个小工具Parse Revealer,它可以简化这些操作,并能够自动确定所有已知类的访问权限。

我们可以使用所有派生的数据创建一个表:

从上面的权限列表中我们可以看到,开发人员试图实现一个安全策略,但这还不够。下面我们就展示一下通过修改ChatMessage类,我们能够获得什么信息。
最明显的漏洞是,攻击者可以修改任何聊天室消息的文本内容。在执行这个代码块之后,所有可以理解的语句都变成了乱七八糟的句子。
https://gist.github.com/igrekde/cb8e2c12408715c9f739 file-parse-security-2 

此外,通过利用一个正确的聊天ID提供一个新的PFObject,我们也可以向任何聊天中发送新消息。然而,我们需要关注一个事实,那就是由于开发人员的偏执想法,我们并不能删除任何消息。
一个更严重的漏洞存在于不正确的数据映射算法中。当一个ChatMessage对象的发送域中没有任何内容时,Cubefree应用就会崩溃。所以,可以遍历所有的聊天室,并发送一个无效的ChatMessage,那么当其他人打开聊天界面时,该应用总是会崩溃。最终会造成App Store中的差评、用户流失以及项目的彻底失败。
在其他类中也有相同的漏洞,但是我们暂时还不考虑它们。
至于你自己的应用程序安全,一切都很透明,只需要遵循下面这些简单的规则:

  • 总是为你所有的Parse类配置客户端权限。
  • 确保基于用户的ACLs,这是一个强大的解析功能。
  • 如果一个客户应该只能够修改类的一个属性,那么考虑将该字段封装到一个单独的类中,这样做能够绕过对象中非法修改的可能性。
  • 不要依赖Parse:永远都要对返回的数据做适当的有效性检查。
  • 记住,理论上来说,应用ID和客户密钥都可以被任何攻击中发现,所以你应该在此基础上构建应用程序的安全基地。
  • 混淆代码中的字符串也很必要。
  • 在更复杂的情况下使用云端代码。
如果在该研究中,你发现了你的应用程序,不要责怪Parse,它是一项神奇的服务,它能够最小化后端开发成本。这些漏洞的存在,都依赖于开发人员的安全意识。
扩展阅读

  1. Parse Documentation
  2. A small series of articles about Parse security
  3. Parse Revealer
  4. iOS Application Security Part 28 – Patching iOS Application With Hopper
  5. The Hopper Disassembler by Mike Ash


清枫逸寒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Parse-Chat:使用Parse Server的简单iOS聊天应用程序
05-01
解析聊天适用于iOS的简单聊天应用程序,演示了Parse Server与ParseLiveQueries的结合使用。 它是使用Swift 4和Xcode 9编写的,并在iOS 10.3+上进行了测试。图书馆解析ParseLiveQuery JSQMessagesViewController怎么...
paired-ios:使用Parse快速编写的iOS应用
05-16
在这个项目,我们将深入探讨如何使用Swift和Parse进行iOS应用开发。 首先,Swift是Apple推出的一种开源编程语言,它以其简洁、安全和高性能的特点受到广大开发者喜爱。在"paired-ios"项目,Swift用于编写用户...
ios开发--iOS APP安全策略之加固保护原理
zzzzzdddddxxxxx的专栏
12-19 3102
一、IOS安全问题 世所公认,iOS系统安全性非常高,很少出现漏洞,几乎不会毒的情况。然而随着各种iOS安全隐患的频频出现,人们逐渐认识到,iOS跟Android一样也面临严重的安全问题。苹果宣称所有的iPhone都很安全,不会被恶意软件攻击,其实这只不过苹果封闭式的系统管理能够及时处理漏洞罢了,这也正是苹果不敢开放的原因。 我们已经习惯,每个新的iOS系统出来没多久,
iOS Parse教程——如何使用ParseiOS应用创建后台服务
08-19 4633
本文由CocoaChina翻译组成员leon(社区ID)翻译自raywenderlich 原文:Parse Tutorial: Getting Started with Web Backends 首先—创建你的后台服务        在开始编写你的app前,你首先要做的是创建你的Parse后台,每个开发人员和每个app都需要一个不同的标识,否则你的数据和账号会和别
ios安全学习资料汇总
知其所以然
08-26 2162
文章出处:https://github.com/pandazheng/IosHackStudy (1) IOS安全学习网站收集: http://samdmarshall.com https://www.exploit-db.com https://reverse.put.as http://highaltitudehacks.com/security/ http
IOS安全学记资料汇总
onebutterfly
05-01 803
转自:https://github.com/pandazheng/IosHackStudy IOS安全学记资料汇总 By 熊猫正正 (1) IOS安全学习网站收集: http://samdmarshall.com https://www.exploit-db.com https://reverse.put.as http://security.ios-wiki.com https:
iOS7 Networking with NSURLSession: Part 3
小邓笔记
02-12 3364
In the previous tutorials, we explored the fundamentals of the NSURLSession API. There is one other feature of the NSURLSession API that we haven't look into yet, that is, out-of-process uploads a
Tutorial: iOS Reverse Engineering Part II: class-dump & Hopper
fishmai的专栏
05-16 901
Tutorial: iOS Reverse Engineering Part II: class-dump & Hopper  Thursday, 02 July 2015 21:25 Written by Jonathan Saggau In the previous tutorial you used LLBD to gain insight as to whether and
IOS/macOS安全相关资料的收集
Tesi1a的充电桩
06-04 1693
http://www.droidsec.cn/ios安全学习资料汇总/ 好的资料: https://github.com/pandazheng/IosHackStudy
扩展的应用范围 ios_使用插件扩展iOS应用
weixin_26638123的博客
07-23 431
扩展的应用范围 iosApp extensions or plug-ins are very common for desktop apps. Web browsers offer a big selection of plug-ins, while many development environments like Visual Studio Code or Android Studio of...
iOS开发之安全学习资料汇总,史上最全安全学习资料
zhonggaorong的专栏
05-04 719
转:https://github.com/pandazheng/IosHackStudy (1)  IOS安全学习网站收集: http://samdmarshall.com https://www.exploit-db.com https://reverse.put.as http://security.ios-wiki.com https://truesecd
iChat:由 Parse 和 PubNub 提供支持的 iOS 应用
06-24
iChat 是一个基于 iOS 平台的即时通讯应用,它利用了两个强大的服务——Parse 和 PubNub,为用户提供高效、可靠的实时通信功能。在这个项目,Objective-C 被作为主要的编程语言,使得 iChat 兼容苹果设备,并...
IOS应用源码——案例展示应用:图标类型的目录.zip
10-14
iOS开发,源码是理解应用程序工作原理和学习新技能的重要资源。"IOS应用源码——案例展示应用:图标类型的目录"是一个针对iOS平台的源码项目,它旨在通过图标展示的方式呈现一个目录结构。这个项目对于iOS开发者...
多少:使用Firebase,Realm等的iOS价格列表应用
02-05
iOS应用程序可记录使用各种数据持久性实现的成本。 基本数据单元是一个item ,一个简单的字典: { " 8ACB9857-5385-4B83-8C36-9FEB278DA86E " = { brand = " Georgia Pacific " ; dateUpdated = 1465489172 ; ...
使用 React 和 Redux 进行井字游戏并附带源代码.zip
最新发布
07-24
项目:使用 React 和 Redux 进行井字游戏并附带源代码 使用 react 和 redux 的井字游戏是一个简单的 react 项目。整个项目都是使用 react components 和redux制作的。游戏很简单,玩法也很多。要运行此项目,您必须先安装 NodeJS。 关于项目 井字游戏反应而 redux 是使用ReactJS开发的。说到这个游戏,它具有高级功能和游戏玩法。要运行此项目,首先,您必须安装费用到您的系统。然后运行npm安装然后开始运行npm开始。游戏启动后,您可以选择不同的游戏选项。您还可以选择所需的网格框数量。此外,您还可以选择对手的类型。 要运行此项目,您需要 在计算机上安装NodeJS 并使用现代浏览器,例如 Google Chrome、  Mozilla Firefox。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
使用 JavaScript 编写的专注力游戏(附源代码).zip
07-24
项目:JavaScript 的专注力游戏(附源代码) 专注力游戏是一个使用 JavaScript、CSS 和 HTML 开发的简单项目。这款游戏很有趣。玩家必须点击移动的框并获得分数。要点击正确的位置,玩家需要在这个游戏注意力。这款游戏可以帮助玩家练习以进一步增强他们的专注力。 游戏制作 这个游戏项目仅使用 HTML、CSS 和 JavaScript。说到这个游戏的特点,用户必须单击移动框并得分。游戏有三种模式:简单、等和困难。游戏的 PC 控制非常简单。您只需使用光标单击移动框的碎片即可。 该游戏包含大量的 javascript 以确保游戏正常运行。 如何运行该项目? 要运行此游戏,您不需要任何类型的本地服务器,但需要浏览器。我们建议您使用现代浏览器,如 Google Chrome 和 Mozilla Firefox。要玩游戏,首先,单击 index.html 文件在浏览器打开游戏。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
人脸识别方案资料61EDA-C1590.zip
07-24
人脸识别方案资料61EDA_C1590.zip
316、基于DK124设计的离线式开关电源设计12V 2A(原理图、PCB图、BOM表、设计说明)
07-24
316、基于DK124设计的离线式开关电源设计12V 2A(原理图、PCB图、BOM表、设计说明) 该设计为DK124控制的开关电源,实现12V 2A输出; 功能: 1、使用DK124核心控制; 2、反激式开关电源拓扑设计; 3、实现12V 2A输出; 4、市电输入; 5、整流、滤波、变压器等电路; 6、原理图、PCB图、BOM表、设计说明;
小程序真机调试ios JSON Parse error: Unexpected EOF
06-13
这个错误通常是由于 JSON 格式错误导致的。你可以先检查一下你的 JSON 数据是否符合规范。有可能是你的 JSON 数据结尾缺失了引号、括号或者逗号等符号导致的。 如果你确定你的 JSON 数据没有问题,可以尝试在代码添加 try-catch 块来捕获异常,以便获取更详细的错误信息。例如: ```javascript try { JSON.parse(jsonData); } catch (e) { console.log("JSON parse error: " + e); } ``` 这样可以输出更详细的错误信息,帮助你找到问题所在。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值