iOS 代码安全&数据传输安全&本地存储安全

最新推荐文章于 2019-06-14 16:05:03 发布
最新推荐文章于 2019-06-14 16:05:03 发布
阅读量1.2k 收藏
点赞数
分类专栏: iOS 文章标签: ios 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/houwenjie11/article/details/53485425
版权

iOS 代码安全

iOS 安全攻防 系列
http://www.cocoachina.com/industry/20140211/7800.html

隐患

通过 class-dump 可以导出代码的头文件,从而进行解析
http://blog.csdn.net/msyqmsyq/article/details/51363659

应对方案

  1. iOS 代码混淆
    通过脚本对代码中的一些关键代码字符串进行加密处理,这样即使查看头文件,也会一头雾水。具体设计与实现:
    http://blog.csdn.net/zm53373581/article/details/49053269
  2. 利用static关键字裁掉函数符号
    如果函数属性为 static ,那么编译时该函数符号就会被解析为local符号。
    在发布release程序时(用Xcode打包编译二进制)默认会strip裁掉这些函数符号
    局限
    当然这种方法也有局限性。正如你所知道的,static函数,只在本文件可见。
    打破局限:
    怎么让别的文件也能调到本文件的static方法呢? 在本文件建造一个结构体,结构体里包含函数指针。把static函数的函数指针都赋在这个结构体里,再把这个结构体抛出去。
  3. 关键代码函数写法。关键函数不要使用下面第一行的写法,第二行更好一些。
 - (BOOL)isPasswordOk:(NSString*)password;
 - (void)verifyPassword:(id)password;

第一行代码形式容易被 hook ,从而通过 method swizzling 直接更改代码的实现返回 yes
4. 将函数声明在结构体中,用函数指针成员的方式存储,这样编译后,只留了下地址,去掉了名字和参数表。

//.h 声明
#import    

typedef struct _util {   
    BOOL (*isVerified)(void);   
    BOOL (*isNeedSomething)(void);   
    void (*resetPassword)(NSString *password);   
}XXUtil_t ;   

#define XXUtil ([_XXUtil sharedUtil])   

@interface _XXUtil : NSObject   

+ (XXUtil_t *)sharedUtil;   
@end   


//.m 文件
#import "XXUtil.h"   

static BOOL _isVerified(void)   
{   
    //bala bala ...   
    return YES;   
}   

static BOOL _isNeedSomething(void)   
{   
    //bala bala ...   
    return YES;   
}   

static void _resetPassword(NSString *password)   
{   
    //bala bala ...   
}   

static XXUtil_t * util = NULL;   
@implementation _XXUtil   

+(XXUtil_t *)sharedUtil   
{   
    static dispatch_once_t onceToken;   
    dispatch_once(&onceToken, ^{   
        util = malloc(sizeof(XXUtil_t));   
        util->isVerified = _isVerified;   
        util->isNeedSomething = _isNeedSomething;   
        util->resetPassword = _resetPassword;   
    });   
    return util;   
}   

+ (void)destroy   
{   
    util ? free(util): 0;   
    util = NULL;   
}   
@end

最后,根据Xcode的报错指引,把以前这样的调用

[XXUtil isVerified];

对应改成:

XXUtil->isVerified();

就可以了。

iOS 数据传输安全

隐患

http 与 https 协议,传输时都可能会被截获数据
1. http协议通过抓包可以获取
2. https协议通过 中间人攻击(Man-In-The-Middle Attack) 可以获取(Charles 通过安装 Mac 证书,且手机安装信任证书做到)。
3. 敏感信息明文传输,包括密码等

应对方案

  1. 密文传输敏感数据。
    滴滴的登录做法(通过抓包解析出来的),采用 rsa 加密,用户登录时,首先请求 rsa 公钥,将密码加密后传输到服务器,服务器解密,然后加盐(salt),进行一定规则的加密,对比
  2. 改变数据传输格式
    即使是密文传输也有风险,所以进行数据传输时,改变数据传输格式,前后端对字段名称进行一定的混淆,或者直接改变传输协议。

iOS 本地存储安全

隐患

数据库,Userdefaults , plist ,文件都有可能被破解出来。

应对方案

  1. 每个值进行存储前,都在前面加上一个随机字符串。
  2. 加密进行存储。
跟风的eassy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iOS 网络传输数据安全以及常用的加密算法使用
KylinGeGe的博客
03-15 2690
我们常说的数据安全:主要分为两种,数据本身的安全和数据防护安全。数据本身的安全包括数据保密,数据完整性验证,数据双向认证等。数据防护安全包括磁盘阵列,数据备份,异地容灾等。App安全问题主要包括:    App代码安全,包括代码混淆,加密或者app加壳。    App数据存储安全,主要指在磁盘做数据持久化的时候所做的加密。    App网络传输安全,指对数据从客户端传输到服务器中间过程的加密,防止...
iOS安全系列-代码安全
WakeUpYQ
07-27 2404
代码混淆 在 动态调试 模拟器检测 越狱检测
iOS安全攻与防
arthurcsh的专栏
11-30 831
移动应用iOS安全攻与防
iOS9 HTTP传输安全
a85640的博客
04-22 113
1.在Info.plist中添加NSAppTransportSecurity 类型 Dictionary 2.在NSAppTransportSecurity 下添加NSAllowsArbitraryLoads 类型Boolean ,其值设为YES 转载于:https://www.cnblogs.com/shpyoucan/p/5421160.html...
iOS之数据安全加密
chase的博客
06-14 439
Base64编码 可以将任意的二进制数据进行Base64编码 被编码的数据只用65个字符就能表示成文本文件 原理 将所有的字符转化成ASCII码 在将对应的ASCII码转为8位二进制 然后对二进制进行归组,每3个归为一组,不足3个的补e,这样变成了24位,在对其拆分成4组,每组6位 统一在6位二进制前补2个0组成8位,然后将二进制转为十进制 最后在Base64编码表中获取十进制对应的base6...
swift-endless专注安全和隐私的iOSweb浏览器
08-15
1. **数据加密**:本地存储的数据如书签、密码等可能采用加密方式存储,以防止数据泄露。 2. **广告拦截**:为了保护用户隐私,可能会有内置的广告拦截功能,减少追踪像素和第三方cookies。 3. **权限管理**:对相机...
IOS渗透测试\移动安全-渗透测试入门
07-18
- **威胁建模**:确定可能的攻击面,如网络通信、本地存储、用户输入等。 - **漏洞扫描**:使用自动化工具进行静态代码分析和网络扫描。 - **漏洞利用**:尝试利用发现的漏洞,例如SQL注入、跨站脚本(XSS)、...
ios-用列表显示本地数据.zip
07-11
iOS开发中,展示本地数据通常涉及到数据存储、解析以及UI界面的构建。"ios-用列表显示本地数据.zip"的示例项目演示了如何在没有网络连接的情况下,利用自定义的JSON数据在列表中进行展示。这个小demo提供了一个...
Unity 数据本地存储插件-Easy Save 3.3.2版本
最新发布
02-01
`Easy Save`是Unity的一个强大的数据本地存储解决方案,尤其是3.3.2版本,它极大地扩展了Unity的存储能力。 `Easy Save`插件的核心功能在于其强大的序列化和反序列化能力。序列化是指将复杂的数据结构转化为可以...
ios应用源码之对xml文件的解析与导出数据存储在xml中(代码)xmlparser 2018127
12-07
XML(eXtensible Markup Language)是一种...理解并熟练运用XML解析是iOS开发者必备的技能之一,这对于处理从服务器获取的或本地存储的数据至关重要。通过深入学习和实践,开发者能够更高效地管理和操作XML格式的数据。
iOS开发常用之代码安全与密码
GuangdongQi
11-21 134
代码安全与密码 ios-class-guard - 一个用于混淆iOS的类名,方法名以及变量名的开源库 - 有人反映编译出来的app运行不了。 “保护iOS应用程序”:文章系统地介绍了如何保护iOS程序的代码安全,防止反汇编分析。 fishhook - fishhook是Facebook开源的一个可以hook系统方法的工具。 GesturePassword - 一个iOS手势密码功...
萝莉有话说:你的App真正适配了iOS 9吗?
腾讯Bugly的专栏
09-10 5856
从7月份开始到现在,Apple已发布5个iOS 9的Beta版本,相信开发者在这段时间也已经把iOS 9系统的特性基本了解清楚,也为自己的App进行了一系列兼容适配处理。但在这里,笔者还是要再次跟大家聊聊iOS 9中两个比较特别的特性及其兼容问题,即:App Transport Security和App Thinning。
iOS APP 如何做才安全
KaSuperMen的博客
08-25 573
iOS 如何做才安全: 1、首先,我们可以通过iTunes下载 AppStore的ipa文件(苹果 把开发者上传的ipa包 进行了加壳再放到AppStore中),所以我们从AppStore下载的ipa都是加壳的,所以不能直接用来反编译。 得到ipa文件可以分析APP 里包含的一些资源,如:图片、plist文件、静态wap页、.bundle 等。
ios客户端安全性问题分析及处理方式
操作猛如虎的博客
08-13 3428
目前,大部分的移动应用都是需要联网,与服务器进行通信,获取最新的数据。一提到网络,肯定就有大量和安全性相关的问题出来。所以,对于我们开发者而言,如何打造一个安全的App,是必须面对的问题。前段时间我专门对iOS移动应用安全性方面进行了研究,下面我们分析iOS应用中可能会存在的安全风险以及相对应的处理方式。1、网络安全在网络请求中,我们经常使用两种请求方式:GET和POST。如果是用GET发送请求,当
【读书笔记】iOS-安全地传输用户密码的方法
weixin_30551963的博客
08-04 79
正确做法:事先生成一对用于加密的公私钥,客户端在登录时,使用公钥将用户的密码加密后,将密文传输到服务器。服务器使用私钥将密码解密,然后加盐之后多次请求MD5,之后再和服务器原来存储的用同样方法处理过的密码匹配,如果一致,则登录成功。 加盐:在密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符。 参考资料:《iOS-开发进阶》 ...
iOS本地数据存储安全
baize_security的博客
10-09 6241
iOS本地数据存储安全移动APP通常会在设备本地存储一些数据,这可以为程序执行、更良好地性能或离线访问提供支持。由于移动设备使用地越来越广泛,设备失窃的风险也越来越大,因此不安全的本地数据存储已成为移动APP安全的主要威胁之一。攻击者可以通过一些方式获取到存储iOS设备上的敏感信息,主要有以下方法: 恶意程序 借助iOS系统的安全弱点,攻击者可以设计出一种远程偷取iPhone上文件的恶意程序。
web渗透--60--本地存储安全
武天旭的博客
09-23 1696
1、本地存储概述 本地存储,也称为Web存储或离线存储。是用来存储绑定到域的键值对的数据并由同源策略强制执行的机制,它有两个对象:本地存储和会话存储本地存储是持久的,是为了在浏览器或系统重启后使用;会话存储是暂时的,只存在于窗口或标签被关闭前。 浏览器平均允许每个域在该存储区中存储大约5MB的空间,与cookie的4KB相比有很大的不同,但是从安全角度来看,关键的区别在于存储在这两个对象中的数据保存在客户端中并且不会发送到服务器,这也提高了网络性能,因为数据不需要在链路中往返。
iOS应用程序安全(20)-本地数据存储及其安全性(NSUserDefaults, CoreData, Sqlite, Plist 文件)
疯狂原始人
02-11 1580
作者:Prateek Gianchandani 译者:吴发伟 原文网址:http://resources.infosecinstitute.com/ios-application-security-part-20-local-data-storage-nsuserdefaults-coredata-sqlite-plist-files/ 版权声明:自由转载-非商用-保持署名 本文我们将
iOS数据安全—加密解密「学习总结」
努力,可能成功!放弃,注定失败!
03-03 4435
本文来自简书,原文地址:http://www.jianshu.com/p/1a7d57b60778 写在前面 在写项目中,数据的安全性至关重要,而仅仅用 POST 请求提交用户的隐私数据,还是不能完全解决安全问题。因此:我们经常会用到加密技术,比如说在登录的时候,我们会先把密码用MD5加密再传输给服务器 或者 直接对所有的参数进行加密再POST到服务器。 记得最初接触加密,也不懂,就根据

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值