ATS(App Transport Security)配置及安全评估

最新推荐文章于 2023-05-10 12:02:21 发布
最新推荐文章于 2023-05-10 12:02:21 发布
阅读量2.2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjx529377/article/details/85270681
版权

ATS简介

ATS的全称是App Transport Security,是从iOS9开始引入的安全项,目的是推广使用https,禁用http,这一安全项在iOS10得到进一步加强。

iOS9中ATS配置

iOS9中默认强制使用https,但是如果Info.plist文件中加入以下节点,就可以关闭这个安全项,允许app使用http。

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
<dict>

iOS10中ATS配置

iOS10中,苹果更加坚定地推行了ATS安全项,不允许开发者全局关闭ATS安全项,但是可以添加不受ATS限制的域名。下面配置项就是允许qq.com域名使用http,这样的配置比iOS9一刀切的方法更安全一些。

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
    <key>NSExceptionDomains</key>
    <dict>
        <key>qq.com</key>
        <dict>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <false/>
        </dict>
    </dict>
</dict>

以小米运动的ipa包看一下iOS10中的ATS配置项,查看Info.plist文件,可以看到NSAppTransportSecurity和NSExceptionDomains,NSExceptionDomains下的域名就是允许使用http的域名。
小米运动ATS安全配置

ATS安全评估

将ipa包上传至MobSF扫描框架,会进行ATS安全项检查。凡是有允许http使用的配置都会有风险提示,安全人员在评估风险时,要注意如果是自己的域名被允许使用http,那么风险是可控的,如果像iOS9中关闭了ATS,那么app在访问一些http链接时存在泄漏敏感数据的风险。

因此安全人员在进行评估过程中,需要提示风险的情况有:

  1. iOS9中将NSAllowsArbitraryLoads设置为true。
  2. iOS10中将未知的域名排除在ATS的限制之外。
littlecjx
关注
App Transport Security
05-09
App Transport SecurityApp Transport SecurityApp Transport Security
App Transport Security(ATS)
smilebigdear的专栏
09-16 754
转: http://southpeak.github.io/blog/2015/09/14/app-transport-security-ats/ App Transport Security(ATS) SEP 14TH, 2015 | COMMENTS 最近下载iOS 9 GM版,然后跑了下我们的应用,发现有些网络请求失效了。先前在WWDC 2015上了解到
App Transport Security (ATS)
OliveLao的专栏
08-05 1096
iOS9中,对C/S应用影响最大的应该是ATS这个功能了吧,所有的HTTP(S)连接都会有波及。这个功能是什么意思呢?简单来说就是Apple强制所有HTTP服务都需要用HTTP(S)来连接,要支持TLSv1.2 SSL。 但请注意,这个新的特性只是能触发,必须要用Xcode7来编译App。换句话说,如果是用Xcode6.x的Xcode编译的App,即使支持iOS9也不会有影响。 当然,
关于iOS9中的App Transport Security相关说明及适配(更新于2016.7.1)
vimfung的博客
11-07 336
@[toc](关于iOS9中的App Transport Security相关说明及适配(更新于2016.7.1)) 修订时间 内容 2016.7.1 根据苹果官方文档的修改做出文档的调整,并加入对诊断ATS的命令行工具nscurl进行说明。 2015.8.19 解决在iOS9下基于ATS对HTTP的请求的说明及适配进行说明 iOS9中新增App Transport Sec...
iOS: App Transport Security
shuai265的博客
01-23 351
编写了一个简单的Demo,其中一个界面中WebView控件需要进行网络连接,但程序运行时出错: App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure. Temporary exceptions can be configured via your app's
IOS 9 App Transport Security 详解
06-02
苹果公司在iOS 9版本中引入了一个名为App Transport SecurityATS)的安全特性,用以提升应用在进行网络数据传输时的安全级别。ATS的引入是针对HTTP(超文本传输协议)和HTTPS(HTTP的安全版本)在安全上存在的各种...
iOS安全App Transport Security深度解析
iOS-唐巧PDF文件主要探讨了iOS系统的安全特性与App Transport SecurityATS)的相关知识。会议于2016年12月25日举行,内容涵盖了iOS平台的安全策略,包括为什么强调这些安全措施、iOS与Android系统的比较以及开发者...
在iOS应用中实现微信OAuth2.0授权登录时,如何正确配置App Transport Security (ATS)以确保与微信SDK的兼容性?
最新发布
10-25
在开发iOS应用时,特别是当应用支持iOS9及以上版本,开发者需要考虑到App Transport Security (ATS)的安全限制。ATS默认阻止了所有未使用HTTPS协议的网络通信,因此在实现微信OAuth2.0授权登录时,必须在项目的Info....
App Transport Security Settings----xcode https协议
许博文的专栏
01-03 1361
最近在使用webview框架,需要内置一个浏览器功能。 只有在info.plist中加入 NSAllowsArbitraryLoads 才可以。
App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure解决
05-10 467
选择下图所示选项: App Transport Security Settings。type改为字典 (Dictionary)值改为YES后重新编译启动问题解决。展开并点击添加号添加子项。
iOS9种关于App Transport Security详细说明
pop_xiaohao的专栏
10-11 4681
1、ios9更新介绍       因为有开发者账号在apple提供iOS 9beta 测试版,就马上更新iOS9,期间发现许多应用用不了,一打开就闪退或者更本连接不上网络。有种白老鼠的心情。这其中主要原因是iOS9系统的更新,开发的应用需要进行处理以适配iOS9。另外我也 更新了最新版的xcode以及osx ei cation,由其在新版本xcode下打开原来的代码,发现代码有许多地方报错,这个
IOS中:简单解决App Transport Security Settings设置问题
网虫的博客
04-23 9548
ios开发中,由于安全原因,系统会拦截http请求(android开发中也会有这个问题,解决方式相对容易,系统提示比较好)。解决的方法之一是在info.plist中右键选择open as -> source code方式打开文件,在<dict>下添加以下语句: swift中 <key>AppTransportSecurity</key> <d...
iOS9 App Transport Security 如何应对?
chentoo的专栏
09-29 1058
ATS本文描述了iOS Apple新增的 ATS 相关政策研究和解读。一、ATS 是什么?1ATSApp Transport Security)是一个提升APP网络服务连接安全性的特性,默认网络连接必须执行安全链接的最佳实践,工作在iOS9及OSX 10.11版本之后。App可以重写默认行为来关闭安全传输特性。所有使用NSURLConnection,CFURL或者NSURLSession API
ats 安全
weixin_30641999的博客
07-17 339
Controlling Access ats可以配置为仅允许某些客户端使用代理缓存. 1. 为ip_allow.config添加一行,以获取允许访问ats的每个IP地址或IP地址范围; 2. traffic_ctl config reload; SSL Termination 通过ats ssl 终止选项,可以在客户端和atsats和源服务器之间以反向代理模式连接。 ...
安全监控大师ATS系统
小鱼仙倌的博客
06-16 1673
ATS全称为Automatic Train Supervision 自动列车监控系统(简称ATS)。ATS子系统作为ATC系统的一个重要子系统,是一套集现代化数据通信、计算机、网络和信号技术为一体的、分布式的实时监督、控制系统,ATS子系统通过与ATC系统中的其他子系统的协调配合,共同完成对地铁运营列车和信号设备的管理和控制。其核心设备位于信号系统的中央层,用于实现对高密度、大流量的城市轨道交通运输进行自动化管理和调度,是一个综合的行车指挥调度控制系统。ATS系统是非安全设备系统(SIL2),主要由中央AT
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值