APP安全相关

已于 2024-04-23 14:39:21 修改
阅读量313 收藏
点赞数 1
分类专栏: Objective-C 文章标签: 密钥混淆 类/方法名混淆 APP安全
于 2018-08-30 10:12:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z119901214/article/details/80583640
版权

密钥串、类名混淆

1)异或

#define XOR_KEY 0xFA
#define DataDecrypt(content, key) \
{ \
    unsigned char *p = content; \
    while( ((*p) ^=  key) != '\0')  p++; \
}

/* 本地数据加密串 */
#define kXorLocalKey ({ \
    unsigned char local_key[] = {(XOR_KEY ^ 'L'), (XOR_KEY ^ 'T'), (XOR_KEY ^ 'a'), \
        (XOR_KEY ^ 'b'), (XOR_KEY ^ 'c'), (XOR_KEY ^ 'd'), (XOR_KEY ^ 'e'), (XOR_KEY ^ '\0')}; \
    DataDecrypt(local_key, XOR_KEY); \
    unsigned char result[8]; \
    memcpy(result, local_key, 8); \
    [NSString stringWithFormat:@"%s", result]; \
})

2)对称加密

#define DataDecrypt(content) [MKCryptDES decryptWithContent:content]

#define kLocalSecretKey ({ \
    NSString *keyStr = @"JbLyWGbiDC/1FFT08EF9BtSed/D/6NPkbJVrv+KLSZbEg=="; \
    DataDecrypt(keyStr); \
})

3)类名/方法混淆

/* 类名混淆 */
#ifndef MKCryptDES
#define MKCryptDES MKDataCrypt
#endif

/* 方法名混淆 */
#define decryptWithContent signWithContent

- (void)demo {
    [MKCryptDES decryptWithContent:@"JbLyWGbiDC/6NPkbJVrv+KLSZbEg=="];
    // 静态分析:[MKDataCrypt signWithContent:]
}

 登录态cookie校验

  • 设置sessionId的有效期(可由后端实现自动延期)
  • 添加后端生成的tokenId(匹配sessionId与uid)
  • 通过Hash(签名规则+盐串)生成签名sign(本地盐串做混淆处理)
  • 使用Https单向认证加强请求的安全性

JWT身份验证机制

JWT(JSON Web Token):登录后返回acces_token、及refresh_token,请求携带access_token做验证身份,每次用access_token判断其是否过期,如果以过期失效,用refresh_token请求接口刷新access_token。

对称/非对称加密密钥长度

  • 3DES:16字节、24个字节
  • DES:8个字节(长度56位+8个校验位)
  • AES:16个字节、24个字节、32个字节
  • RSA:128个字节、256个字节

Hash算法

  • MD5:低安全性
  • SHA2:高安全性
  • SM3:高安全性

公钥、私钥、证书的关系

数字证书是经过CA认证过的公钥,包含有效期,认证机构等信息,公钥和私钥是相对的,一个加密一个解密,一个签名一个验签;

cer文件包含了数字签名信息和公钥,为二进制文件,pem为Base64文件,P12文件包含了cer文件(数字证书)和私钥,为Base64文件。

Charles实现浏览器Https抓包

  • 设置网页代理为本地IP地址,端口默认8888;
  • 浏览器输入chls.pro/ss下载并安装pem证书;
  • “钥匙串访”问双击Charles证书,设置为“始终信任”;
  • charles-SSL Proxying Settings-添加“域名:端口”;
  • charles-Proxy-macOS Proxy-开启HTTPS抓包;

备注:域名:端口-如(*.tencent.com、*:443、*.tencent.com:443)

Https防中间人攻击(charles、fiddler抓包)

以AFNetworking为例,实现bundle-cer数字证书校验

- (AFSecurityPolicy *)configSecurityPolicy:(NSString *)url {
    BOOL cerVerify = [url containsString:@"根域名"];
    if (cerVerify) {
        if (self.certifiPolicy.pinnedCertificates.count == 0) {
            return self.defaultPolicy;
        }
        return self.certifiPolicy;
    } else {
        return self.defaultPolicy;
    }
}

- (AFSecurityPolicy *)certifiPolicy {
    if (_certifiPolicy == nil) {
        _certifiPolicy =  [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
        [_certifiPolicy setAllowInvalidCertificates:NO];
        [_certifiPolicy setValidatesDomainName:YES];
        [_certifiPolicy setPinnedCertificates:[self configcertificates]];
    }
    return _defaultPolicy;
}

- (AFSecurityPolicy *)defaultPolicy {
    if (_defaultPolicy == nil) {
        _defaultPolicy = [AFSecurityPolicy defaultPolicy];
        [_defaultPolicy setAllowInvalidCertificates:YES];
        [_defaultPolicy setValidatesDomainName:NO];
    }
    return _defaultPolicy;
}

- (NSSet *)configcertificates {
    NSArray *paths = [[NSBundle mainBundle] pathsForResourcesOfType:@"cer" inDirectory:@"."];
    
    NSMutableSet *certificates = [NSMutableSet setWithCapacity:[paths count]];
    for (NSString *path in paths) {
        NSData *certificateData = [NSData dataWithContentsOfFile:path];
        [certificates addObject:certificateData];
    }
    
    return certificates;
}
风·之痕
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
App安全问题
zhuquan0814的博客
05-07 3257
App安全问题
APP 安全测试
qq_33199455的博客
07-17 649
2.1.1软件权限 1)扣费风险:包括发送短信、拨打电话、连接网络等 2)隐私泄露风险:包括访问手机信息、访问联系人信息等 3)对App的输入有效性校验、认证、授权、敏感数据存储、数据加密等方面进行检测 4)限制/允许使用手机功能接人互联网 5)限制/允许使用手机发送接受信息功能 6)限制/允许应用程序来注册自动启动应用程序 7)限制或使用本地连接 8)限制/允许使用手机拍照或录音...
PS2022打开总提示访问钥匙密钥的解决办法
macSC_csdn的博客
08-05 2507
​ 有些用户更新了新版的Photoshop2022,在运行过程中提示访问钥匙密钥,如何解决这个问题呢?
Android开发规范:App安全规范
ChatGPTer
09-17 1251
文章目录加壳组件外露WebViewLogcat日志网络请求API接口so文件 加壳 加壳也就是加固,或者叫做加密,app打包成apk后,通过加壳技术给app上了一层保护,用来预防app被破解、反编译、二次打包等。 免费的加固应用有乐固、阿里聚安全、360加固宝等; 收费的有梆梆、爱加密、以及一些免费加固应用的收费版本。 以下是相关机构发布的安全报告: 65%的移动APP至少存在1个高危漏洞,平均...
CSDN技术主题月:实战解读移动信息安全技术
一起来捉 Bug 呀~~
11-24 776
摘要:11 月 12 日,由 CSDN 社区主办的“CSDN 技术主题月——移动信息安全技术的挑战与创新”在北京中关村隆重举行,此次沙龙活动邀请到黄帅(@猴子搬来的救兵Castiel)和姜维(@尼古拉斯_赵四)两位 CSDN 设计专家,以及花甲科技安全实验室负责人泮晓波和知道创宇高级安全顾问锅涛到场,围绕移动信息安全技术主题,共论安全在实践中的挑战与创新。 如今,在 PC 和移动终端已经深度...
APP安全相关研究
balance的博客
08-13 326
一、webview安全:https://blog.csdn.net/haoren_xhf/article/details/80931505 二、存储安全:http://blog.sina.com.cn/s/blog_6cd4a7350102x2cj.html 三、升级安全:http://blog.sina.com.cn/s/blog_6cd4a7350102x2cw.html 四、通信安全:...
app安全评估操作指南及填写范例.zip
10-24
"app安全评估操作指南及填写范例.zip" 文件包提供了一份详细的指南,旨在帮助开发者理解并执行应用安全评估,同时包含了一个安全评估报告的填写范例,这对于准备将应用上架到各大应用市场的开发者来说,是非常实用的...
安卓APP安全
01-09
安卓APP安全是一本专注于安卓应用程序安全性的专业电子书,作者为Sheran Gunasekera。该书籍通过详尽的分析与实例,为读者深入讲解了在安卓平台上开发应用程序时,如何识别、评估和预防潜在的安全风险。这本书对于...
app逆向学习相关笔记
12-13
app逆向学习相关笔记】 在移动应用开发和安全领域,app逆向工程是一个重要的实践环节,它涉及对已安装应用程序的分析,以理解其工作原理、查找潜在漏洞或提取敏感信息。本笔记主要介绍了使用adb命令进行app逆向...
APP测试相关资料_appium_app测试相关资料_Monkey_
09-28
除了以上工具,移动APP测试还包括功能测试、性能测试、兼容性测试、安全性测试等多个方面。功能测试验证应用是否按预期工作,性能测试关注启动速度、内存占用等;兼容性测试涵盖不同设备、操作系统版本、网络环境;...
app客户端的安全协议
08-05
最后,如果用户对App的隐私协议或相关政策有任何疑问,可以通过官方提供的联系方式,如邮件,寻求解答。对于已经绑定服务的用户,App通常会提供便捷的解绑功能,允许用户随时删除在云端服务器上的个人信息,从而控制...
CocoaPods - podspec私有库配置
热门推荐
风·之痕的博客
05-21 1万+
CocoaPods Specs 源地址:原始仓库-github、镜像仓库-gitee查看 CocoaPods 的 repos 与 CachesPodfile 中添加私有库的 source、pod 配置,在终端输入 pod install 构建在 Podfile 中使用 post_install 自定义 pod 库的 Build Settings。
如何在iOS应用中更好的调试H5页面
风·之痕的博客
03-23 8496
APP中,H5页面可以通过加载vConsole脚本,来查看页面的日志、异常、网络加载、设备信息、储存信息、元素。但是,JS脚本加载于页面Dom挂载之后,这样就会使得这一区间的信息丢失,而且vConsole的Error也会有采集不到的情况。本篇先简单讲述WKWebView的加载流程,再通过Safari网页检查器,实现H5页面的调试与问题定位。
IOS WKWebView与Cookie问题梳理
风·之痕的博客
01-16 8379
解决方案2对比跳转URL与页面URL的host,如果为跨域且未做处理,拦截该跳转,重新配置request的cookie信息,再loadRequest一下。html资源加载一般是不会去判断登录态的,WKWebView在加载同域的第一个html文件时,没有带cookie信息,所以直接在加载html的时重定向去判断登录态就会有问题。解决方案1对比跳转URL与页面URL的host,如果为跨域,通过WKUserScript在注入cookie信息(document.cookie)。...
TestFlight应用
风·之痕的博客
04-24 8198
一、内部测试与外部测试的区别 内部测试只能添加100成员不需要beta审核(beta审核:通过审核未发布上线),外部测试能添加10000成员需要beta审核。 二、内部测试构建 1、在App Store Connect的App详情页中,选择TestFlight的栏目 2、测试员和群组 > App Store Connect用户 > 测试员 > ⊕ 3、点击“用户和职能”添加测试员 4、填写测试员信息,设置测试员的权限;邀请后apple ID邮箱会收到对应的邮件,
IOS内存管理
风·之痕的博客
09-05 7489
1. 栈区(stack):由编译器自动分配释放,函数的参数值,局部变量等值。2. 堆区(heap):一般由开发人员分配释放,若不释放,则可能会引起内存泄漏。Objective-C提供了两种种内存管理方式:(MRC,手动引用计数器),(ARC,自动引用计数)。ARC作为苹果新提供的技术,苹果推荐开发者使用ARC技术来管理内存;
iOS性能优化 - 分析&应用
风·之痕的博客
09-21 5983
APP 的性能指标主要是包括 CPU、GPU、内存、电池耗电、网络加载几个大的方面,网络加载在下文会提及,电池耗电主要是由于 CPU、GPU、网络等因素决定,所以不作为基础的指标。
通用链接-Universal Link
风·之痕的博客
04-24 5960
前言 通用链接与URL Scheme的用途似,主要是实现从外部唤醒App,并执行某些操作(如:打开指定页面)。 由于使用URL Scheme(wechat://path?quary)从当前App唤醒自己的应用时,需要添加应用的URL Scheme到当前App的白单中,限制该方法的灵活性,使用Universal link刚好可以解决这样的问题 (https://域/path)。 应用 链接必须是https协议,且在webView打开链接时为跨域的方式(与当前域不同),才会被作为通用链接唤起。
app安全运维管理制度
最新发布
07-25
### 回答1: App安全运维管理制度是指为了保障App在使用过程中的安全性和顺畅性,所制定的一系列管理规定和操作流程。该制度包含了以下几个方面: 1. 审查和授权:在App的开发、测试和发布阶段,需要进行严格的审查和授权。只有经过安全测试合格的App才能发布和使用。 2. 安全策略制定:制定明确的安全策略,包括用户身份验证、数据加密、访问控制等,以保证App安全性。 3. 安全监管控制:通过对App的使用情况进行监管和控制,确保其安全性。包括对用户行为的监控、异常行为的及时发现和处理,以及对安全事件的响应和处置。 4. 漏洞修复和更新:定期对App进行安全漏洞扫描和修复,及时更新最新的安全补丁,以防止黑客攻击。 5. 安全备份和恢复:建立完善的数据备份体系,确保App数据的安全性和可恢复性,以应对数据丢失或损坏的情况。 6. 培训和教育:定期组织安全培训和教育,提高员工的安全意识和技能,让他们能够正确使用App,避免造成安全风险。 7. 定期评估和改进:定期对App安全管理制度进行评估和改进,及时发现和解决存在的问题,以保障App的长期安全运营。 综上所述,App安全运维管理制度是为了确保App在使用过程中的安全性和可靠性而建立的一系列规定和流程,通过严格的审核和授权、制定安全策略、建立安全监管和控制机制、修复漏洞和备份数据、定期培训和评估改进等措施,保障App安全运营。 ### 回答2: App安全运维管理制度是指为了保障移动应用程序的安全性而制定的管理规范和措施。该制度包括以下几个方面的内容: 1. 安全策略与规划:制定明确的移动应用安全策略和规划,包括安全目标、安全管理的职责与权限、安全风险评估和处理等,确保整个安全运维工作的有序进行。 2. 安全开发与测试:制定规范的移动应用开发和测试流程,包括安全编码标准、代码审查、漏洞扫描和渗透测试等,确保应用程序在开发阶段就具备较高的安全性。 3. 安全监测与防护:建立实时监测机制,对移动应用的安全事件进行及时发现和响应;同时,配备防护设施如防火墙、入侵检测系统等,保障应用程序在运行时的安全。 4. 安全更新与修复:及时通知用户关于安全漏洞和补丁,以及相关更新措施;同时,负责应用程序的漏洞修复工作,确保应用程序始终处于安全的运行状态。 5. 安全审计与合规:定期对移动应用的安全运维工作进行审查和检验,确保其符合相关法规和规定,并对存在的问题进行整改和提升。 6. 应急响应与恢复:建立完善的应急响应机制,及时应对意外事件和安全威胁的发生,并进行相应的恢复工作,减少损失和影响。 通过制定和执行App安全运维管理制度,可以有效保障移动应用程序的安全性,防止信息泄露、恶意攻击等安全事件的发生,维护用户的隐私权益和数据安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值