iOS攻防-序章(2)-签名机制

最新推荐文章于 2023-02-28 15:18:39 发布
VIP文章 最新推荐文章于 2023-02-28 15:18:39 发布
阅读量220 收藏 1
点赞数 1
分类专栏: IOS 移动端开发 安全性
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoujabcd/article/details/103266327
版权

前言:对于一个iOS开发入门来说,一定会被一堆诸如:csr文件、私钥、Provisioning Profile、p12等名词搞的一头雾水。当年我也如此,但相信我,iOS的签名机制其实并不复杂,而了解这套机制对于iOS攻防的研究有很大帮助

何为签名

假设A和B进行通讯,A向B发送了一个讯息,B收到后,会有一个问题?如何证明这个信息来自于A?

了解过非对称加密算法的同学应该不难想出解决方法,利用非对称加密算法的特性:私钥加密内容,只有公钥能解密。只要保证私钥不泄露,把公钥发给需要通讯的对象。利用私钥加密数据,而收到数据的人利用公钥去解密,如果能解出正常的内容,那就证明这段讯息是来自对方。

实际上,网络上普遍使用的数字签名技术,就是基于这样的机制实现的:

图片来自于网络:

sign0

签名机制根本上要解决两个问题:

  1. 你正在安装的应用来自苹果授权
  2. 你正在安装的应用确实是你的应用

基于这两个问题,苹果搞出了一套双签名机制。首先,真对第一个问题,怎么证明应用是经过苹果授权的?这就牵扯出了第二个概念

最低0.47元/天 解锁文章
拿铁先生
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iOS攻防-实战(2)-反重签与反注入
zhoujabcd的博客
12-05 988
前言:上一篇我们讲了如何通过重签名目标ipa文件以及修改Math-O来实现动态注入。知道如何攻击,是为了找出攻击细节来实现防御。这一篇我们来讨论下如何防御动态注入。 相信了解了动态注入过程的同学都会有这样的体会:动态注入的核心步骤有2点: 重签名 添加自己的framework 反重签 之前在讲重签名时,我留了一个伏笔: 重签名时,打包的证书不是原始ipa开发团队的,证书变了,bun...
iOS APP反重签名技术详解
秦伟的专栏
01-04 5380
转载请注明出处,作者:秦伟 什么是签名? 简单的说,代码签名(code signing)是苹果公司的一种安全机制,APP的签名有效才被iOS系统允许执行。 签名包含了开发者信息等。 在Xcode中,找到 Build Settings -> Code Signing ,在此处设置签名。 什么是重签名? 重签名,就是在APP原来的基础上,用现有的签名替换原来的签名
App防篡改--签名校验
DARKSang的专栏
03-31 3146
最近项目遇到IOS App被重签名二次打包的情况,于是研究一下App重签名方法和如何防护重签名IOS签名校验是一个复杂的过程,但是任何系统都是有漏洞的。通过漏洞第三方可以定义App 重签名或者修改包里的资源文件甚至是代码逻辑。
IOS APP 逆向安全攻防入门
WQ_631288233的博客
06-25 614
iOS APP 逆向安全攻防的几个简单方法。 以下提供几个简单的检测机制,来检测APP是否经过非正规途径进行安装,我们可以通过这些方法进行安全防护操作。 A. 检查 BundleID 采用MonkeyDev 重签名,会更改 BundleID func checkBundleID() { let infoDic = Bundle.main.infoDictionary let bundleID = infoDic?["CFBundleIdentifier"] as? String if
签名防护
kangpp的博客
12-29 521
签名防护
iOS14.0-beta2.zip
08-26
iOS开发使用的Xcode真机调试包, iOS 14 beta 2 放入路径: /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport
ios-cmake-master_ios-cmake-master_fallen2lc_
10-02
ios-cmake-master用来交叉编译的,很好用
iOS-Tagent-master.zip
06-09
网易airtest for mac必备agent, iOS-Tagent 其实就是 WebDriverAgent 仔细看,会发现iOS-Tagent会比WebDriverAgent简略得多。 iOS-Tagent其实就是WDA的优化版本。 git clone ...
iOS安全攻防-v1.1
06-22
本课程主要适用于 iOS 的开发人员,希望对 iOS 应用的安全性有深入理解并能应用于实战。
Location-cleaned IOS16.0驱动包
最新发布
11-14
Location-cleaned IOS16.0驱动包,亲测解压复制到drivers目录可用,你值得拥有。IOS16重大更新!需要去设置-隐私-开启开发者模式 需要去设置-隐私-打开开发者模式。没有开发者模式选项的,临时解决方法,下载爱思...
高清完整版 IOS应用安全攻防
11-13
高清完整版 IOS应用安全攻防
iOS安全攻防(二十):越狱检测的攻与防
念茜的博客
03-02 4万+
越狱检测的攻与防在应用开发过程中,我们希望知道设备是否越狱,正以什么权限运行程序,好对应采取一些防御和安全提示措施。iOS7相比之前版本的系统而言,升级了沙盒机制,封锁了几乎全部应用沙盒可以共享数据的入口。即使在越狱情况下,限制也非常多,大大增加了应用层攻击难度。比如,在iOS7之前,我们可以尝试往沙盒外写文件判断是否越狱,但iOS7越狱后也无该权限,还使用老方法检测会导致误判。那么,到底应该如何
iOS攻防-序章(1)-Mach-O文件结构解析
zhoujabcd的博客
11-22 464
前言:最近因为工作需要,一直在研究iOS的逆向工程。说起来,这个方面涉及到的的知识面实在太广,所以想开一个系列,从基础知识到实战攻防,系统的总结一下最近的所思所学。 第一篇,先从一个基础知识开始:Mach-O文件。 说起Mach-O文件,很多开发人员应该不陌生。即使你没有听过Mach-O,但你也肯定知道exe文件是什么。每个操作系统都有自己的可执行文件,比如Linux下的ELF,Windo...
iOS逆向安全攻防 /逆向 /砸壳/重签名/Hook/越狱/汇编/APP防护
zygx8的博客
02-28 515
iOS逆向安全攻防 /逆向 /砸壳/重签名/Hook/越狱/汇编/APP防护
iOS安全攻防(二十三):Objective-C代码混淆
热门推荐
念茜的博客
06-07 13万+
iOS安全攻防(二十三):Objective-C代码混淆class-dump可以很方便的导出程序头文件,不仅让攻击者了解了程序结构方便逆向,还让着急赶进度时写出的欠完善的程序给同行留下笑柄。所以,我们迫切的希望混淆自己的代码。混淆的常规思路混淆分许多思路,比如:1)花代码花指令,即随意往程序中加入迷惑人的代码指令2)易读字符替换等等防止class-dump出可读信息的有效办法是易读字符替换。Obj
iOS安全攻防-李文瀚-专题视频课程
IM_Hank的博客
07-02 4040
关于iOS应用开发的安全,这块内容可无限的深入和延展 1.苹果的签名机制 2.代码注入的原理 3.HOOK的原理剖析 4.防护进阶 所有的防护,是要了解进攻的原理. 所有的破解,也需了解防护的原理....
iOS安全攻防
Kiven's Program Space
10-21 641
转自念茜的博客 iOS安全攻防(一):Hack必备的命令与工具 你的应用正在被其他对手反向工程、跟踪和操作!你的应用是否依旧裸奔豪不防御?   郑重声明一下,懂得如何攻击才会懂得如何防御,一切都是为了之后的防御作准备。废话少说,进入正题。   今天总结一下为hack而做的准备工作。   常用的命令和工具 ps         ——显示进程状态,CPU使用率,内存使用情况等 sy
iOS攻防 - (八)使用Introspy追踪和分析iOS应用
VictorZhang
05-26 1416
使用Introspy追踪和分析iOS应用转载自:http://wiki.jikexueyuan.com/project/ios-security-defense/introspy.html如果你已阅读了《 iOS 安全攻防》系列专栏之前的文章,一定已经对静态以及运行时分析 App 有了一定的了解。我们可以借助的分析工具很多,工具和工具之间一般没有什么优劣比较性,完全看个人习惯什么擅长什么。多个工具多
iOS安全攻防—目录
十二指环的博客
09-07 418
一.工具篇&Cycript 1.常用APP安装以及环境配置 2.集成非越狱调试工具 3.Cycript安装以及使用 4.Shell脚本 二.初识汇编 1.汇编概述 2.总线 3.进制 4.寄存器 三.函数的本质 1.栈 2.bl&ret指令 3.函数的参数和返回值 4.函数的局部变量与嵌套调用 四.还原高级代码&状态寄存器 1.状态寄存器 2.找到内存中不同的...
ios 11898-2文档
04-29
iOS 11898-2文档是苹果公司发布的文档,用于规范iOS设备与外部医疗设备间的通信协议。该文档主要包括两个方面:设备专用性和加密性。在设备专用性方面,该文档规定了外部医疗设备应该如何与iOS设备进行通信,确保...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值