iOS应用程序安全简要总结

本文全面概述了iOS应用安全系列文章,涵盖了从搭建渗透测试平台到使用多种工具进行运行时分析、对抗分析、本地数据存储安全等多个方面。同时,提供了iOS越狱程序开发的简介和技巧,强调了安全的重要性。文中还提到了iOS逆向方面的书籍和博客资源,为开发者提供了一站式的学习指南。
摘要由CSDN通过智能技术生成

文章转自 @吴发伟 的博客,非常感谢作者,原文地址:http://wufawei.com/2013/11/ios-application-security-summary/

作者:吴发伟
版权声明:自由转载-非商用-保持署名

前面介绍了iOS应用安全系列文章,文章列表如下:

iOS应用程序安全(1)-搭建移动渗透测试平台
iOS应用程序安全(2)-获得iOS应用程序的类信息
iOS应用程序安全(3)-理解Objective-C Runtime
iOS应用程序安全(4)-用Cycript进行运行时分析(Yahoo天气应用)
iOS应用程序安全(5)-用Cycript做运行时分析的高级技巧(Yahoo天气应用)
iOS应用程序安全(6)-iOS 7的新安全功能
iOS应用程序安全(7)-不用证书安装应用到设备的方法
iOS应用程序安全(8)-用Cycript进行Method Swizzling
iOS应用程序安全(9)-用Snoop-it分析iOS应用的安全
iOS应用程序安全(10)-iOS文件系统和取证
iOS应用程序安全(11)-分析使用HTTP/HTTPS的网络流量
iOS应用程序安全(12)-导出Keychain数据
iOS应用程序安全(13)-使用Sogeti Data Protection tools启动定制的Ramdisk
iOS应用程序安全(14)-使用Sogeti Data Protection tools收集信息
iOS应用程序安全(15)-使用iNalyzer对iOS应用进行静态分析
iOS应用程序安全(16)-使用iNalyzer对iOS应用进行动态分析
iOS应用程序安全(17)-使用Introspy对iOS应用进行黑盒测试
iOS应用程序安全(18)-使用Introspy检测自定义签名
iOS应用程序安全(19)-在程序中使用Introspy
iOS应用程序安全(20)-本地数据存储及其安全性(NSUserDefaults, CoreData, Sqlite, Plist 文件)
iOS应用程序安全(21)-ARM和GDB基础
iOS应用程序安全(22)-使用GDB进行运行时分析和操作
iOS应用程序安全(23)-对抗运行时分析和操作
iOS应用程序安全(24)-对抗运行时分析和操作
iOS应用程序安全(25)-对抗运行时分析和操作
iOS应用程序安全(26)- 使用IDA Pro给iOS应用打补丁


相信读者把这一系列文章都看一遍,会对iOS应用的安全有个较为深入的了解。

通过SSL Pining提供iOS SSL通信的安全,介绍了使用SSL通信需要注意的问题。

Keychain is not safe 介绍了即使使用keychain保存数据,也不应该保存明文密码。

iOS Application Security简要介绍了下iOS应用安全,简要讨论了关键数据的保存,关键数据是需要加密的。Encrytion is a must for sensitive data。 也简要讨论了通信的安全,http请求应该要做到能够防篡改、防重放攻击(replay attack)等等,如果安全要求更高,还要用https, 在客户端用https,也要注意对源的校验。使用http的时候,不要把用户名和密码直接通过网络请求发送到server,一定要有安全方面的考虑,即使使用HTTPS,也最好不要用明文传递密码,还要考虑中间人攻击(Man in the middle)的情况。不过,正如在iMessage Privacy看到的那样,安全之路,任重道远。


iOS越狱程序开发(1)- 工具篇
iOS越狱程序开发(2)- 构建和部署
iOS越狱程序开发(3)- Your First Tweak
iOS越狱程序开发(4)- 总结

这4篇文章,简要介绍了如何进行iOS越狱程序开发,可以在越狱设备上做很多有趣的事情,能做的事情,有时候仅仅受限于你的想象力。写这4篇文章的时候,我用这几篇文章介绍的相关技术实现些demo,能够在越狱设备上在运行时截取某些知名应用的敏感信息,并能把数据发送到server,你从这4篇文章就能学到相关的技巧。

把这些写出来的目的是知己知彼。开发者要了解攻击者能做什么,只有我们了解攻击者能做什么,怎么做到的,才能更好的确保我们应用的数据安全,我们的通信安全和用户敏感数据的防护,有时候,安全也可能成为你的竞争力。

谨以这些文章抛砖引玉,仓促而就,文中谬误之处,请大家多多指点并留言,一定修正。谢谢。

------------------------------------------------------------补充部分------------------------------------------------------------

关于iOS逆向方面的书籍有: 《Hacking and Securing IOS Applications》, 《iOS Hacker's Handbook》中文书籍有《iOS应用逆向工程:分析与实战》

中文博客有: 程序员念茜的《iOS安全攻防系列》 英文博客有:Prateek Gianchandani的iOS 安全系列博客

IOS Security http://security.ios-wiki.com/



评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值