iOS安全:敏感逻辑的保护方案(敏感信息的安全设计)

置顶 已于 2022-08-08 14:12:00 修改
阅读量1.1w 收藏 3
点赞数 3
分类专栏: iOS进阶 # IOS逆向 # iOS安全 文章标签: ios 安全 xcode
于 2018-11-05 11:47:46 首次发布
本文链接:https://blog.csdn.net/z929118967/article/details/83746545
版权
iOS进阶 同时被 3 个专栏收录
148 篇文章 392 订阅 ¥69.90 ¥99.00
订阅专栏 超级会员免费看
IOS逆向
124 篇文章 370 订阅 ¥99.90 ¥299.90
订阅专栏 超级会员免费看
iOS安全
35 篇文章 357 订阅 ¥49.90 ¥99.00
订阅专栏 超级会员免费看
本文探讨了如何提高iOS应用的安全性,主要关注防止静态分析的策略,如使用static inline函数、隐藏函数名于结构体、字符串混淆以及安全的签名key存储。通过这些方法,可以增加逆向工程的难度,保护敏感逻辑和信息,避免攻击者轻易获取关键数据。
摘要由CSDN通过智能技术生成

文章目录

前言

  • 应用场景:签名函数,把函数名隐藏在结构体里,以函数指针成员的形式存储来进行敏感逻辑的保护。

为了提高代码的安全性,可以采用把把函数名隐藏在结构体里,以函数指针成员的形式存储。 编译后,只留了下地址,去掉了名字和参数表,提高了逆向成本和攻击门槛.

在OC 开发中使用C 语言实现算法相关的功能,来保障代码的安全性。
iOS 的底层是用 C C++ 实现的,编译之后生成的大都是 subroutine, class-dump 拿它没办法,只能使用IDA工具。

I 防止静态分析

1.1 使用static inline方式编译函数,防止静态分析。

使用inline方式将函数在调用处强制展开,防止被hook和追踪符号。

static
了解本专栏 订阅专栏 解锁全文 超级会员免费看
iOS逆向
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
iOS安全敏感逻辑保护方案:1、把函数名隐藏在结构体里,以函数指针成员的形式存储2、使用宏进行替换字符串
iOS逆向与安全
09-19 1万+
// Created by devzkn on 18/09/2017. // Copyright © 2017. All rights reserved. //#import <Foundation/Foundation.h>@interface KNUtil : NSObject/** 把函数名隐藏在结构体里,以函数指针成员的形式存储。 编译后,只留了下地址,去掉了名字和参数表,提高了逆向成
iOS应用安全风险及加密解决措施
aijiami0的专栏
12-02 2313
作为最受开发者欢迎的两种系统,安卓系统和苹果iOS系统一直备受关注,对于两种系统的对比,尤其是安全iOS应用安全方面的对比,这几年来一直都争论不休。安卓的开放性使其具有普及性的同时也伴随着风险性,苹果iOS的封闭性使开发者备受约束但也保障着安全性,所以一直以来,用户普遍认为iOS应用安全安全
函数与结构体
博客
04-16 1774
函数与结构体
动态链接库so文件中的函数名隐藏
sy10086的博客
12-07 6675
在我们提供给别人使用的动态链接库so文件时,内部实现的函数名,特别是一些关键名称我们是不希望别人见到 然后反向的,这时候一般有两种处理方式:一是把程序中关键词修改了再编译,比较蠢笨;二是通过编译的方式将字 符隐藏,gcc编译器提供了这个选项,即在编译选项中加入-fvisibility=hidden选项。 比如ndk里这样操作:LOCAL_CPPFLAGS +=-fvisibility=hid
【C】结构体中包含函数
编程记录,亲测有效
12-22 2万+
在《【C】Malloc与结构体,其实就是C语言里面的new和类》(点击打开链接)提到,C语言结构体里面也可以包含函数,如同类中有方法一样,但是不能通过直接放过一个函数进去,需要通过函数指针的方式,同时,关于类的构造函数与析构函数C语言表示是没有的,需要你自己手动解决这些问题。 下面讲讲如何在C语言中的结构体包含函数。 如下的一段代码: #include #include using name
原来结构体和函数是可以同名的
ghostyu的专栏
11-07 7212
见识太少了。。。 #include struct _func{ int s; }; void _func(struct _func s) { printf("in function _func,struct _func:s.s=%d\n",s.s); } int main() { struct _func s; s.s = 10; _func(s); return 0; }运行结构
iOS安全攻防(二十四):敏感逻辑保护方案(1)
念茜的博客
06-07 4万+
iOS安全攻防(二十四):敏感逻辑保护方案(1)Objective-C代码容易被hook,暴露信息太赤裸裸,为了安全,改用C来写吧!当然不是全部代码都要C来写,我指的是敏感业务逻辑代码。本文就介绍一种低学习成本的,简易的,Objective-C逻辑代码重构为C代码的办法。也许,程序中存在一个类似这样的类:@interface XXUtil : NSObject + (BOOL)isVerifi
iOS安全敏感逻辑保护方案【把函数名隐藏在结构体里,以函数指针成员的形式存储】案例:js根据key从本地方法获取设备及签名信息 (完整demo)
04-19
2、原理:为了提高代码的安全性,可以采用把把函数名隐藏在结构体里,以函数指针成员的形式存储。 编译后,只留了下地址,去掉了名字和参数表,提高了逆向成本和攻击门槛. 3、应用场景:签名函数
iOS小技能:敏感逻辑保护方案
iOS逆向与安全
04-19 1868
文章目录前言I、把函数名隐藏在结构体里,以函数指针成员的形式存储1.1 >* KNUtil.h1.2 >* KNUtil.m1.3 >* 外围调用II、 案例:js根据key从本地方法获取设备及签名信息 (完整demo)2.1 demo下载see also 前言 应用场景:签名函数 为了提高代码的安全性,可以采用把把函数名隐藏在结构体里,以函数指针成员的形式存储。 编译后,只留了下地址,去掉了名字和参数表,提高了逆向成本和攻击门槛. I、把函数名隐藏在结构体里,以函数指针成员的
iOS安全防护系列之字符串及系统函数隐藏详解
08-27
主要给大家介绍了关于iOS安全防护系列之字符串及系统函数隐藏的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
等级保护应用安全验证测试:身份鉴别缺陷、SQL注入漏洞、敏感信息明文传输
最新发布
iOS逆向与安全
05-28 134
风险分析: 攻击者可以通过构造特殊URL的手段,利用SQL注入漏洞从数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作(如关闭数据库管理系统)、恢复存在于数据库文件系统中的指定文件内容,在某些情况下能执行操作系统命令。漏洞描述: 应采用校验技术或密码技术保证重要数据在传输过程中不存在篡改或重放攻击,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。风险分析: 攻击者可利用该漏洞,盗用用户会话信息,进行恶意操作。
动态库隐藏函数
xinyu391的专栏
08-12 647
gcc/g++编译动态库时,默认所有函数都是导出的,就是在便好的so文件中,能够看到函数表: $readelf -s libxxx.so Symbol table '.dynsym' contains 1188 entries: Num: Value Size Type Bind Vis Ndx Name 0: 0000000000000000 0 NOTYPE LOCAL DEFAULT UND 1: 000000000
结构体内嵌函数指针解析
Xminyang的博客
06-16 2390
结构体内嵌函数指针的定义 typedef struct Factory_s{//结构体内嵌函数指针 int (*init)(void);//函数指针 int (*produce)(int num); int (*consume)(int num); }Factory; 结构体内嵌函数指针的初始化 Factory factory={//结构体初始化 .init=a...
gcc 的visibility 使用
永不放弃的地盘
08-31 3687
-fvisibility=default|internal|hidden|protected gcc的visibility是说,如果编译的时候用了这个属性,那么动态库的符号都是hidden的,除非强制声明。 1.创建一个c源文件,内容简单 #include #
iOS应用安全Part39:获取内存中的敏感信息
清枫逸寒
03-28 1660
在本篇博文中,我们将着手分析一个iOS应用内存中的内容。iOS应用的内存中可能存留有像密码、会话ID等之类的敏感信息。在某些情况下,可能无法选择性地释放这些变量。例如,应用程序可能需要为每个请求发送一个认证令牌,所以在内存中的某个地方肯定存在着对它的引用。尽管这些变量可能经过加密之后才存储在应用程序本地,不过程序运行时这些变量的值将以解密状态存在。因此,在对一个iOS应用进行渗透测试时,分析内存中的内容将是一件非常重要的事。同时提醒应用开发者,如果有一些重要的属性或实例变量不再需要,那么应该及时将它们从内存
iOS隐私安全:用户协议及隐私政策弹框(包含超链接属性、demo支持中英文切换)【设置 NSLinkAttributeName 字体颜色:链接默认蓝色】
热门推荐
iOS逆向与安全
01-09 13万+
code //新增超链接属性 //新增超链接属性 [attrStr addAttribute:NSLinkAttributeName value:k_serviceAgreement_URL range:str4Range]; [attrStr addAttribute:NSLinkAttributeName value:k_ser...
移动应用APP安全开发指南:iOS与Android基线
分析显示,当前移动应用面临的主要风险包括源码保护不足、配置错误、敏感信息明文存储、未加密的数据传输以及开发过程中的高风险业务逻辑漏洞。这反映出开发者对移动端安全性的认识不足和规范执行不力。 4. **安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iOS逆向

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值