自己本地可以做网站服务器,企业seo年度,深圳建站网站公司,桥梁建设设计网站文章分A,B,C,D 4个部分。 A) iOS Application Security 下面介绍iOS应用安全#xff0c;如何分析和动态修改app。 1#xff09;iOS Application security Part 1 – Setting up a mobile pentesting platform Part1介绍如何在越狱的设备上搭建用来测试iOS安全的环境。 2…文章分A,B,C,D 4个部分。 A) iOS Application Security 下面介绍iOS应用安全如何分析和动态修改app。 1iOS Application security Part 1 – Setting up a mobile pentesting platform Part1介绍如何在越狱的设备上搭建用来测试iOS安全的环境。 2iOS Application security Part 2 – Getting class information of IOS apps Part2介绍如何利用class-dump-z 和 Clutch 来dump类信息利用这些信息可以理解代码的设计和代码内部是如何工作的。有没有可能我们去动态修改app呢例如有一个方法 -(BOOL)isFacebookSessionValid 在某种情况下返回 NO有没有方法操纵它让它返回YES呢可不可以在运行时修改 instance variable变量的值呢答案是YES。 3) iOS Application security Part 3 – Understanding the Objective-C Runtime Part3提到Method Swizzling.我之前有篇blog有过介绍参见Monkey Patching iOS with Swizzling 4) iOS Application Security Part 4 – Runtime Analysis Using Cycript (Yahoo Weather App) Part4介绍了用Cycript动态分析和修改app的方法。文章拿Yahoo Weather app做的例子。其中一处改动是给加上了badge number。 5IOS Application security Part 5 – Advanced Runtime analysis and manipulation using Cycript (Yahoo Weather App) Part5 分享了一些高级分析技术。分析了如何获得特定类的信息方法名实例变量名称并且如何在运行时修改。 6IOS Application Security Part 6 – New Security Features in IOS 7 7IOS Application Security Part 7 – Installing and Running Custom Applications on Device without a registered developer account B关键数据的保存。 在本地保存的数据一般来说要么:1存本地db。 2存plist文件。 ([NSUserDefaults standardUserDefaults] 也是一个plist文件)3存入keychain。 如果直接保存明文即使在keychain中也不安全。 之前我写过一篇blogkeychain is not safe里面提到了某微博其实就是新浪微博客户端把用户密码存在keychain中在一定条件下也是可以提取出来的。 (下面图中password所在位置就是我新浪微博的密码为了演示这里做了修改 所以关键数据是需要加密的。Encrytion is a must for sensitive data. C通信的安全。 一般来说http请求都应该要做到能够防篡改、防重放攻击replay attack等等如果安全要求更高还要用https 在客户端用https也要注意对源的校验。通过SSL Pining提供iOS SSL通信的安全。 比如一些涉及到关键业务的东西不能够直接给个URL任何人都能从PC上就下载一定要做身份校验甚至要有time out值URL里面有时间戳。 比如最近大家看到的关于支付宝插件的分析相关文章(参见分析支付宝客户端的插件机制浅析支付宝钱包插件再谈支付宝钱包插件和说好的 Demo)如果是你来设计请问会从哪些方面来加强安全呢。 我想到这些1插件内容加密。这里做到加密关键部分即可。在加载插件对应功能的时候把对应功能解密到内存中文件系统中还是保持加密状态。 2) 下载插件的URL做身份验证。 3) 插件里面的JS做混淆。 4关键逻辑和代码放在native实现。 5加入冗余代码让代码不易被看懂。 D安全 VS 成本 对于个人用户来说尽量不要越狱不使用免费WIFI登陆敏感网站。很多免费WIFI传输都不加密加密的密码很可能也是123456这种很容易被hack或者这个WIFI本身就是别有企图的人提供的。 对企业来说就既要考虑通信的安全也要考虑客户端的安全等等。直接把用户的密码存在本地安全上是有风险。 安全是相对的A中分享的文章可以看到即使把关键逻辑放在iOS native code中去实现也是可能被hack被破解的。但是这个需要的技巧和能力就会要求更高。 你的业务是什么你打算以多大的成本来提高安全性业务越critical要求越高。 对于和钱打交道的app至少你需要提高门槛。 You should raise the bar. ---------这是分割线---------- 转载自:http://wufawei.com/2013/07/iOS-application-security/ 转载于:https://www.cnblogs.com/yingkong1987/p/3185490.html
