iOS应用安全防护框架概述

最新推荐文章于 2024-06-03 09:43:35 发布
最新推荐文章于 2024-06-03 09:43:35 发布
阅读量752 收藏
点赞数

转载自:http://nianxi.net/ios/ios-security-overview/ 一篇女神的文章

iOS应用安全防护框架概述

Security for iOS Mobile Applications
08 Sep 2014 in ios

攻易防难,唯有缜密、多层的防护网络才能可靠的保护我们iOS应用程序的安全。那么,一个完善的iOS应用安全防护框架都要写哪些东西呢?
首先,先梳理一下常见的逆向及攻击工具。

iOS应用逆向常用工具


裸奔app的安全隐患

一部越狱的iOS设备,外加上述的逆向工具,给裸奔的iOS应用程序带来哪些威胁呢?

  • 任意读写文件系统数据
  • HTTP(S)实时被监测
  • 重新打包ipa
  • 暴露的函数符号
  • 未加密的静态字符
  • 篡改程序逻辑控制流
  • 拦截系统框架API
  • 逆向加密逻辑
  • 跟踪函数调用过程(objc_msgSend)
  • 可见视图的具体实现
  • 伪造设备标识
  • 可用的URL schemes
  • runtime任意方法调用
  • ……


iOS应用安全防护开源工具

  • ios-class-guard
    ios-class-guard是对抗class-dump的利器,作用是将ObjC类名方法名等重命名为难以理解的字符。


iOS应用安全防护框架概述

针对上述安全隐患,我们的iOS应用安全防护框架需实现的任务大致如下:

防护

  • ObjC类名方法名等重命名为难以理解的字符
  • 加密静态字符串运行时解密
  • 混淆代码使其难于反汇编
  • 本地存储文件防篡改

检测

  • 调试状态检测
  • 越狱环境检测
  • ObjC的Swizzle检测
  • 任意函数的hook检测
  • 指定区域或数据段的校验和检测

自修复

  • 自修复被篡改的数据和代码段



此外,还需要多层的防护,通过高层保护低层的方式来保证整个防护机制不失效。
参考IBM移动终端安全防护框架解决方案:

test

 Tagged with iOS应用安全攻防

Share this post

念茜's photo
By 念茜

一个无忧无虑的单线程妞


小朴朴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iOS app安全技术总结
lsxf_xin的专栏
02-14 1万+
iOS app安全技术总结        很多开发者认为,iOS系统的封闭性使APP更加安全。事实上,根据国外某安全服务商的最新调查显示:iOS前100名的付费应用中有87%均遭黑客破解。内购破解、源代码破解、本地数据窃取等,为iOS应用带来了诸多风险。常见的比如有恶意植入广告插件、扣费代码、替换支付链接,导致用户向私人账户付费、收集用户隐私、盗取用户收集通讯录、窃取金融APP账号密码,盗取资金等...
iOS security.framework
wwwwwwwwwwwwdi的博客
11-01 832
http://blog.csdn.net/lerryteng/article/details/51423558
iOS安全之旅】- 探秘KYSecurityDefense:打造坚不可摧的应用防护
最新发布
gitblog_00031的博客
06-03 236
iOS安全之旅】- 探秘KYSecurityDefense:打造坚不可摧的应用防护罩 项目地址:https://gitcode.com/kingly09/KYSecurityDefense 项目介绍 在移动应用日益普及的今天,iOS开发不仅仅局限于功能的实现和用户体验的优化,更是一场无形的安全攻防战。KYSecurityDefense,正如其名,是一把锋利的技术之剑,专门针对iOS应用安全加固...
防护IOS APP安全的几种方式(详解)
dt1991524的博客
09-27 2225
1.URL编码加密 对iOS app中出现的URL进行编码加密,防止URL被静态分析 2.本地数据加密 对NSUserDefaults,sqlite存储文件数据加密,保护iOS app的帐号和关键信息。 3.网络传输数据加密 对iOS app客户端传输数据提供加密方案,有效防止通过网络接口的拦截获取 4.方法体,方法名高级混淆 对iOS app的方法名和方法体进行混淆,保证源码被逆向后无法解析代码...
App应用安全防护体系
clmaykr95629的博客
07-13 446
...
iOS App的几种安全防范
weixin_30800807的博客
08-20 210
虽然公司的项目目前还不算健壮,安全问题对于大部分小公司来说似乎并没什么必要,不过要攻击的话,我有十足的把握,我们是无法承受冲击的。嘿嘿嘿~不过带着一颗入坑iOS的心思,搜集了一下资料后,还是做了一些尝试。 iOS App安全防范总结: 1.防止抓包篡改数据 2.防止反编译 3.阻止动态调试 4.防止二次打包 关键检测:越狱检测 OK,下面是正文开始。...
iOS应用安全攻防视频.txt
06-10
### iOS应用安全攻防概述 #### 一、iOS安全基础 1. **iOS系统架构简介**:了解iOS的底层结构,包括内核(Kernel)、用户界面层(UIKit)、媒体层(Media)、Core OS层等。 2. **权限管理机制**:iOS通过严格的权限...
零反射全动态Android插件框架 (2).txt
04-22
#### 二、零反射插件框架概述 **零反射插件框架**是一种基于Android平台的插件化框架,其主要特点是通过一系列设计模式和优化策略实现了对插件的加载、运行时管理等操作而无需使用反射。这种设计能够有效减少由于...
ctf工具合集.txt
04-22
5. **Drozer**: 专门针对Android平台设计的安全测试框架,提供了丰富的API和工具来模拟攻击场景,评估应用安全性。 6. **iPaaS (iOS Penetration Testing and Analysis System)**: 一款针对iOS应用进行渗透测试...
安全技术学习路线图_pro
06-06
- Web安全:Web应用程序的安全性是网络安全的重要组成部分,主要涉及SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等攻击的防护。 - 二进制安全:理解不同指令架构(如X86/X64、ARM、MIPS)有助于进行二进制级别的...
eCapture v0.6.5.txt
04-22
1. **操作系统差异**:不同移动操作系统(如Android和iOS)之间的安全机制存在差异,这增加了跨平台安全防护的复杂性。 2. **应用程序漏洞**:应用程序中可能存在安全漏洞,如果不加以妥善管理,可能会被黑客利用...
iOS Security - 唐巧
05-14
本⽂文档是来自唐巧2016年年12⽉25⽇日在“趣直播”的 直播节目
iOS安全保护介绍中文版官方iOS_Security_Guide
11-14
ios安全白皮书(中文版)
iOS app 进行安全加固
iOS_开发
07-27 871
点击上方“iOS开发”,选择“置顶公众号”关键时刻,第一时间送达!    先不说楚枫的这般年纪,能够踏入元武一重说明了什么,最主要的是,楚枫在刚刚踏入核心地带时,明明只是...
大型网站技术架构 | 应用服务器安全防御
洛阳泰山的博客
06-20 1043
人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。攻击者可以使用户在浏览器中执行其预定义的恶意脚本,其导致的危害可想而知,如劫持用户会话,插入恶意内容、
iOS总体框架介绍和详尽说明
Python老吕的博客
02-23 1405
iOS总体框架是指在iOS操作系统下所有的软件组件和库iOS总体框架是苹果公司为其移动设备操作系统设计的核心架构,它提供了一个稳定且高效的平台,支持开发者创建丰富多样的应用程序。该框架采用了层次化的设计思想,将底层硬件与上层应用程序有效地隔离,确保了系统的安全性和稳定性。在iOS总体框架中,最底层是硬件层,包括设备的各种物理组件,如处理器、内存、显示屏等。硬件层之上是核心操作系统层,它负责管理设备的硬件资源,提供基本的系统服务,如内存管理、文件系统、网络通讯等。
iOS App Crash 防护框架之 MKCrashGuard
Kiven's Program Space
06-13 1631
github 传送门 MKCrashGuard App 运行时 Crash 自动修复 + 捕获上传 1、使用 添加组件 pod 'MKAppKit/MKCrashGuard' 使用 // 启用防护 [MKCrashGuardManager executeAppGuard]; // 设置 crash 回调 [MKCrashGuardManager registerCrashHan...
网络安全常见的三层架构(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
05-14 1919
是梳理网络资产,把客户当前的资产暴露面梳理一下。颗粒度大,梳理的信息就少点,颗粒度细,梳理的信息就多点。一般情况下,都是根据信息系统来梳理的,把公网上IP总量梳理清楚,IP上开放的端口梳理清楚,就是一些暴露面搞清楚,后续可以来收拢暴露面,或者做相应的风险监控和加固。有些安全设备的策略要配置好,及时更新特征库,这样安全设备会及时报警,我们根据报警情况来做操作,该打补丁打补丁,该杀毒杀毒,该改代码改代码。是从实际的工作中总结出来的,这三层架构说起来很清晰,客户可以理解,做起来也容易,反正都能套到这三层里去。
推荐项目:iOS Class Guard - 安全强化你的Objective-C代码
gitblog_00100的博客
03-25 607
推荐项目:iOS Class Guard - 安全强化你的Objective-C代码 项目地址:https://gitcode.com/Polidea/ios-class-guard 在iOS开发中,安全是至关重要的。iOS Class Guard 是一个由Polidea开发的工具,旨在增强Objective-C代码的安全性,防止类信息泄露和动态代码注入攻击。通过混淆你的类名、方法名和协议名,它...
iOS应用安全防护:攻防实战解析
本课程"iOS安全攻防-v1.1"旨在帮助iOS开发人员深入了解应用安全隐患,掌握如何防御潜在的攻击。课程作者念茜是一位经验丰富的iOS程序员,她将带领学习者探索黑客的攻击手段、工具和技术,以此提升开发者的安全意识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值