iOS小技能:请求安全防护(1、 防代理分析请求数据 2、SSL证书认证3、采用签名禁止修改报文4、不在本地缓存网络请求报文5、利用NSURLProtocol 拦截修改请求)

已于 2022-11-14 17:49:04 修改
阅读量2.4w 收藏 5
点赞数 3
分类专栏: iOS进阶 文章标签: ios 网络 安全
于 2019-10-11 22:55:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z929118967/article/details/102511852
版权
本文详细介绍了iOS应用的安全防护措施,包括防止代理分析请求数据、SSL证书认证、请求参数签名防止修改、禁止本地缓存网络请求报文以及利用NSURLProtocol拦截修改请求。通过这些手段,可以有效提升iOS应用在网络通信过程中的安全性。
摘要由CSDN通过智能技术生成

文章目录

前言

银行和信用卡类app 为了安全,防止修改和抓包都是基本的要求。

  • 防止抓包
  1. 防代理
  2. 【SSL证书验证(采用AFNetwork)】

经过app的SSL证书验证之后,别人无法获取报文,除非服务器的证书信任Charles的证书

https://blog.csdn.net/z929118967/article/details/77115940

了解本专栏 订阅专栏 解锁全文 超级会员免费看
iOS逆向
关注
专栏目录
订阅专栏
iOS安全之【禁止网络代理】(抓包) | 蓄力计划
iOS逆向与安全
04-19 4013
文章目录引言I、iOS APP 不走全局proxy的方案1.1 隧道APP的请求接口,一些自己特殊接口不走隧道1.2 hook NSURLSession 进行全局设置II、修改请求和返回数据 引言 银行和信用卡类app 为了安全修改和抓包都是基本的要求 应用场景: 1、隧道APP请求我们自己接口的都不走隧道 2、禁止网络代理(抓包) 原理: 如果使用的是NSURLSession,把NSURLSessionConfiguration的connectionProxyDictionar
iOS 安全规范指南之【对请求参数进行签名请求参数按照ASCII码从小到大排序、拼接、加密(采用递归的方式进行实现)应用案例:条码支付综合前置平台申请退款
热门推荐
iOS逆向与安全
08-24 7万+
前言 支付类app为了安全起见,除了使用【代理】,还可采用签名的方式进一步进行限制请求和返回报文修改。 应用场景: 在对接第三方支付的时候,第三方会要求参数按照ASCII码从小到大排序。 I、步骤 1.1 签名模式的前奏:按照参数名ASCII码从小到大排序并拼接[递归的方式进行实现] 设所有发送或者接收到的数据为集合M,将集合M内的参数和参数值按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串string
iOS安全之【拦截请求,实现特定目的 】(修改HTTPHeaderField、不走全局proxy、设置代理IP和端口、对网络请求数据进行报文级别的加密)
04-20
1、文章:https://kunnan.blog.csdn.net/article/details/115690756 2、应用场景: 2.1、 自定义请求头的HTTPHeaderField 2.2、针对NSURLSessionConfiguration设置代理IP和端口,让一些特殊的请求走自定义的隧道IP和端口 2.3、对网络请求数据进行报文级别的加密:使用NSURLProtocol来自动监听HTTP请求并加密解密。 通过[NSURLProtocol registerClass: [NetworkInject class]];注入了自定义的NSURLProtocol类 3、原理:利用NSURLProtocol 拦截 HTTP 请求
ZXRequestBlock 项目教程
最新发布
gitblog_00335的博客
09-03 419
ZXRequestBlock 项目教程 ZXRequestBlock基于NSURLProtocol一句话实现iOS应用底层所有网络请求拦截(含网页ajax请求拦截【不支持WKWebView】)、一句话实现抓包(使Thor,Charles,Burp等代理抓包方式全部失效,且即使开启了代理,也不影响App内部的正常请求)。包含http-dns解决方法,有效止DNS劫持。用于分析http,http...
IOS网络篇1之截取本地URL请求(NSURLProtocol)
weixin_34095889的博客
05-25 179
本文转载至 http://blog.csdn.net/u014011807/article/details/39894247 NSURLProtocoliOS中非常重要的一个部分,我们经常会在以下地方用到它: (1)网络请求代理转发(FQ 网络加速等) (2)离线缓存策略 总之,只要是需要对本地的URL请求进行截获的,我们都需要使用这个东东。 IOS中我们经常使用的网络请...
ios开发止App被抓包(一句话实现iOS应用底层所有网络请求拦截(如ajax请求拦截),包含http-dns解决方法,有效止DNS劫持,用于分析http,https请求,禁用/允许代理抓包)
qq_38836717的博客
10-14 2078
ZXRequestBlock github地址 安装 通过CocoaPods安装 pod 'ZXRequestBlock' 手动导入 将ZXRequestBlock拖入项目中。 导入头文件 #import "ZXRequestBlock.h" 使用方法 拦截全局请求 [ZXRequestBlock handleRequest:^NSURLRequest *(NSURLRequest *r...
IOS Q&A 我应该如何在网络传输中保持数据安全性?
playerlife的专栏
08-13 1796
Q :  我应该如何在网络传输中保持数据安全性?   A :  采用非对称加密算法管理对称算法的密钥,然后用对称加密算法加密数据, 这样我们就集成了两类加密算法的优点,既实现了加密速度快的优点,又实现了安全方便管理密钥的优点。 Q : 如果在选定了加密算法后,那采用多少位的密钥呢? A:    一般来说,密钥越长,运行的速度就越慢,应该根据的我们实际需要的安全级别来选择,
iOS安全规范指南之参数签名:参数按照ASCII码从小到大排序、拼接、加密(采用递归的方式进行实现)【案例:条码支付综合前置平台申请退款】 丨蓄力计划
iOS逆向与安全
04-13 3431
文章目录前言I、实现步骤1.1 签名原始串:`按照参数名ASCII码从小到大排序并拼接`[递归的方式进行实现]1.2 MD5加密(具体的算法和密钥计算出签名结果)1.3 key 的存储1.4 敏感逻辑的保护方案:把签名函数名隐藏在结构体里,以函数指针成员的形式存储II、 用法 & demo下载2.1 用法2.2 、签名demo 下载地址III、 常见问题3.1 `签名数组ASCII码排序的地方`相关问题的解答3.2 Bool 参数处理IV、 应用案例:iOS条码支付综合前置平台【被扫支付 / 申
iOS安全保护:【1、数据加密2、代码混淆3、反调试、注入检测、hook检测、越狱检测、签名检测】
iOS逆向与安全
09-19 1万+
iOS安全保护:【1、数据加密2、代码混淆3、反调试、注入检测、hook检测、越狱检测、签名检测】
深信服SCSA安全工程师题库(方便大家复习备考)
a5a8a45的博客
04-11 1万+
1、【EDR】下列哪个端口是紧急情况下EDR管理平台和客户端通信端口,即紧急情况下用于下发Agent重启、Agent卸载和Agent停止等指令。( ) A:443.0 B:54120.0 C:8083.0 D:8088.0 正确答案B 2、【EDR】客户有7000个终端需要安装EDR客户端进行安全防护, 请问推荐部署多少个EDR管理平台( ) A:1个 B:2个 C:4个 D:6个 正确答案C 3、【EDR】EDR的Agent客户端不支持在以下哪种类型的终端上安装( ) A:Windows Server B
IOS设置系统代理+APP不走代理绕过方式_devicenotsupportedbythinning
2401_84418948的博客
04-17 1591
安装不上,原因是因为info.plist中的 UISupportedDevices 字段的作用. 当前设备不在该列表时, 无法安装此ipa, 并报错 DeviceNotSupportedByThining.对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
goniub:goniub是一个java爬虫工具库,如果你想提高开发爬虫的效率,如果你用selenium老是被网站检测到机器识别,如果你想实现js注入。请你立马用goniub
05-13
欢迎使用goniub 我带来的不仅仅是一个框架,最重要是做爬虫的思想。 感谢大家的关注,因为各种原因文档迟迟未更新。但是还是有“识货”的人,进去看了goniub的源码。因为觉得好用所以给了star和fork,我再次由衷感谢大家对goniub的认可。 ** goniub是一个java爬虫工具库,如果你想提高开发爬虫的效率,如果你用selenium老是被网站检测到机器识别,如果你想实现js注入。请你立马用goniub。** 添加maven依赖 <dependency> <groupId>com.deep007</groupId> <artifactId>goniub</artifactId> <version>2.0.2</version> </dependency> 快速开始 不要直接使用HttpClient、OKHttp 我知道大家做java爬虫实现网络请求非常喜欢用Apach
goniub是一个java爬虫工具库.zip
03-07
如果你想提高开发爬虫的效率,如果你用selenium老是被网站检测到机器识别,如果你想实现js注入。请你立马用goniub。 开发工具在软件开发生命周期中扮演着至关重要的角色,它们旨在简化和加速从概念设计到产品部署的各个环节。以下是开发工具的主要作用: 代码编写与编辑: 提供集成开发环境(IDE),如Visual Studio、Eclipse、Android Studio和Sublime Text等,这些工具集成了文本编辑器,支持语法高亮、自动补全、代码片段管理和版本控制等功能,有助于开发者高效编写和维护代码。 项目管理: 支持项目创建、组织、构建自动化以及依赖管理,确保不同模块和组件之间的协调一致。 编译与构建: 包括编译器、构建工具(如Make、Gradle、Maven)等,用于将源代码转换为可执行文件或库,并进行资源打包、优化等处理。 调试与测试: 集成调试器允许开发者逐行执行代码,设置断点、查看变量值、跟踪调用堆栈等,帮助定位并修复代码中的错误。 测试框架和工具则协助开发者编写和运行单元测试、集成测试及性能测试,确保软件质量。 版本控制与协作: 通过集成Git、SVN等版本控制系统,支持团队成员间的代码共享、分支管理、合并请求和冲突解决。 可视化设计与原型制作: 对于UI/UX设计,有界面设计工具,如Sketch、Adobe XD,可以帮助设计师快速构建应用程序界面模型,并生成规范的设计稿供开发人员参考实现。 跨平台支持: 跨平台开发工具如Xamarin、React Native和Flutter,让开发者使用一种语言或框架编写可以在多个操作系统上运行的应用程序。 文档编写与API管理: 文档生成工具可以自动生成代码注释文档,便于团队内外理解和使用项目代码。 API管理工具则方便开发者创建、测试、发布和维护API接口。 持续集成与持续部署(CI/CD): Jenkins、Travis CI、GitHub Actions等工具负责自动化构建、测试和部署流程,提高交付效率和可靠性。 数据库管理与ORM工具: 数据库客户端工具用于连接、查询、更新数据库,ORM(对象关系映射)工具简化了数据操作和持久化层的开发工作。 总之,开发工具极大地提升了软件工程师的工作效率,保证了开发过程中的准确性与一致性,同时也促进了团队合作,使得软件开发更系统化、规范化和工业化。
HTTP 请求报文拦截与篡改
04-04
•HTTP代理实现请求报文拦截与篡改9--实现篡改功能后的演示+源码下载 http://blog.csdn.net/duhai/article/details/22936979
怎么ios系统被抓包?ios系统被抓包的方法
08-28
怎么ios系统被抓包?下面小编就为大家分享一篇ios系统被抓包的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
SpringBoot 统一功能处理:用户登录权限校验-拦截器、异常处理、数据格式返回...
Java知音
04-12 859
文章目录统一用户登录权限效验最初用户登录权限校验Spring AOP 统一用户登录验证Spring 拦截器练习:登录拦截拦截器实现原理统一访问前缀添加统一异常处理统一数据格式返回统一数据格式返回的实现@ControllerAdvice 源码分析本篇将要学习 Spring Boot 统一功能处理模块,这也是 AOP 的实战环节用户登录权限的校验实现接口 HandlerInterceptor + W...
mitmproxy-hub让所有语言都可以使用上mitmproxy
郭钟的专栏
12-07 660
欢迎使用mitmproxy-hub mitmproxy非常适合捕捉网络流量,但是对于Java用户没有简单的接口。软件测试社区,特别是爬虫、中间人攻击测试人员,希望能够捕获设备在Java测试期间发出的网络请求。 为此,基于grpc开发了mitmproxy的中央服务,任何语言都可以基于mitm_hub.proto实现的回调定义生成自己的远程客户端代码。以便在你的语言环境上也能像在python本地一样,使用remotemitmproxy。 推荐环境 Mitmproxy: 5.3.0 Python:.
java版本的mitmproxy-java 终于有了
郭钟的专栏
12-07 2650
欢迎使用mitmproxy-java mitmproxy-java是基于mitmproxy-hub实现的java版客户端。你可以像使用原生mitmproxy一样使用它。 推荐环境 Mitmproxy: 5.3.0 Python: 3.6.8 OpenSSL: OpenSSL 1.1.1h 22 Sep 2020 Platform: Darwin-20.1.0-x86_64-i386-64bit 启动mitmproxy-hub git clone https://gi..
IOS设置系统代理+APP不走代理绕过方式
qq_45764684的博客
04-28 6729
IOS如何设置系统代理的问题,以及IOS安装ipa文件出现的问题,问题1:DeviceNotSupportedByThining.问题2:设备未安装appsync越狱,解决方法;部分APP设置不走代理绕过的方式
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iOS逆向

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值