不管你也是要根据探索、修补编号系统漏洞为运用布防,還是想根据研究iOS运用构造及Objective-C策略模式捕捉别人APP系统漏洞,这书都是借由以下几点协助很好的地进行工作中。
√ iOS 安全性实体模型以及内嵌保护模式的局限性
√ 无数种会造成隐秘数据泄露的方法,比如剪贴板造成的泄露
√ 怎么使用钥匙串、数据保护 API 及 CommonCrypto 保持数据加密
√ 因为 C 語言自身所遗留下的缺点,可能会导致 iOS 运用现如今会碰到的一些难题
√ 搜集客户信息所产生的隐私保护难题,及其如何应对在搜集全过程时会碰到的潜在性圈套
针对全部期望维护客户免遭故意进攻的开发人员而言,清除iOS 运用之中的网络安全问题尤为重要。在这书中,手机端安全性权威专家David Thiel 向你表明了这些会造成比较严重安全隐患的普遍iOS 编号系统漏洞,并论述了寻找并修补这种系统漏洞的方式 。防止在运用的网络安全问题层面出現重特大疏漏很关键。不论是必须提升运用的防御力,還是要在别人的编码之中找寻网络安全问题,这书都能协助很好的地进行工作中。这书合适有一定经验、正着眼于研究iOS 运用系统漏洞的开发人员,也合适对渗透测试很感兴趣的阅读者。
目录
- 目录
- 推荐序 ......................................................................................................................... V
- 译者序 ....................................................................................................................... VII
- 作者简介 ..................................................................................................................... IX
- 前言 ............................................................................................................................ XI
- 致谢 ......................................................................................................................... XXI
- 第一部分 iOS 基础
- 第1 章 iOS 安全模型 ................................................................................................ 2
- 安全启动 ........................................................................................................................... 3
- 沙盒机制 ........................................................................................................................... 3
- 数据保护和全盘加密 ........................................................................................................ 4
- 加密密钥的层级........................................................................................................ 5
- 钥匙串API ................................................................................................................ 7
- 数据保护API ............................................................................................................ 7
- 防御代码漏洞:ASLR、XN 和其他机制 ....................................................................... 8
- 越狱检测 ........................................................................................................................... 9
- 苹果商店的审查是否有用 .............................................................................................. 10
- WebKit 桥接 ............................................................................................................ 11
- XXIV iOS应用安全权威指南
- 动态修复 ................................................................................................................. 11
- 故意植入不安全的代码 .......................................................................................... 12
- 内嵌解释器 ............................................................................................................. 12
- 小结 ................................................................................................................................ 12
- 第2 章 Objective-C 简明教程.................................................................................. 13
- 关键的iOS 编程技术 ..................................................................................................... 14
- 消息传递 ......................................................................................................................... 14
- 剖析Objective-C 程序 .................................................................................................... 15
- 声明一个接口 ......................................................................................................... 15
- 具体实现 ................................................................................................................. 16
- 使用block 指定回调 ....................................................................................................... 18
- Objective-C 如何管理内存 ............................................................................................. 19
- 自动引用计数 .................................................................................................................. 19
- 委托和协议...................................................................................................................... 20
- should 消息 .............................................................................................................. 20
- will 消息 .................................................................................................................. 21
- did 消息 ................................................................................................................... 21
- 声明并遵守协议...................................................................................................... 21
- category 的潜在问题 ....................................................................................................... 23
- 方法swizzling ................................................................................................................. 24
- 小结 ................................................................................................................................ 26
- 第3 章 iOS 应用剖析 .............................................................................................. 27
- 对plist 文件进行处理 ..................................................................................................... 29
- 设备目录 ......................................................................................................................... 32
- Bundle 目录 ..................................................................................................................... 34
- Data 目录 ......................................................................................................................... 35
- Documents 和Inbox 目录 ....................................................................................... 35
- Library 目录 ............................................................................................................ 36
- tmp 目录 .................................................................................................................. 38
- Shared 目录 ..................................................................................................................... 38
- 小结 ................................................................................................................................ 39
- 第二部分 安全性测试
- 第4 章 构建测试平台 .............................................................................................. 42
- 拆掉辅助轮...................................................................................................................... 42
- 推荐几个测试设备 .......................................................................................................... 43
- 使用设备测试与使用模拟器测试 .................................................................................. 44
- 网络和代理设置 .............................................................................................................. 45
- 绕过TLS 验证 ........................................................................................................ 45
- 用stunnel 绕过SSL ................................................................................................ 47
- 设备上的证书管理 .................................................................................................. 49
- 在设备上设置代理 .................................................................................................. 50
- Xcode 和构建设置 .......................................................................................................... 53
- 为生活增加点挑战 .................................................................................................. 53
- 启用完整的ASLR .................................................................................................. 55
- Clang 和静态分析 ................................................................................................... 56
- Address Sanitizer 和动态分析 ................................................................................ 57
- 使用Instruments 监控程序 ......................................................