前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
腾讯云架构师技术同盟
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP腾讯云架构师技术同盟
返回腾讯云官网
社区首页 >专栏 >iOS App 安全测试

iOS App 安全测试

作者头像
VV木公子
修改2021-02-19 10:34:40
修改2021-02-19 10:34:40
7.9K0
举报
文章被收录于专栏:TechBoxTechBox

一、数据存储安全

主要从以下几个方面考虑

  • Sandbox 数据存储
  • Keychain 数据存储
  • Console Log 数据
  • Keyboard 缓存

1. Sandbox 数据存储

(1) Sandbox 文件存储结构

SubDirectory

Description

AppName.app

存储 app 执行文件和静态资源文件,改文件夹为只读

Documents

App的配置文件等,该文件夹的内容会被同步到backup文件中

Library

Application support files

Library/Preference

App specific preferences (plist files)

Library/Caches

缓存数据 (cache file and cookie file),该文件夹内的内容不会被同步

tmp

Temporary files that do not need to persist across successive launches of the application

(2)Sandbox 文件导出和查看工具

iFunbox, iTools 等等

(3)Sandbox中存储的文件,主要有以下几种类型

a. Plist files

查看工具: Xcode(Mac),plistEditor(windows)

测试点:
  • 文件中是否存储敏感信息,敏感信息是否加密
  • 文件是否会被备份,备份泄露是否有风险
  • 文件能否被用于跨过客户端的逻辑校验(如某个存储文件的内容是客户端用于判断用户是否登陆,测试将该文件导出,拷贝至其他设备,查看能否越过登陆校验)
b. sqlite

查看工具: sqlite manager

测试点:
  • 文件中是否存储敏感信息,敏感信息是否加密
  • 文件是否会被备份,备份泄露是否有风险
c. Cookie

查看工具:

BinaryCookieReader.py (用法: 将cookie文件导出到PC端,python BinaryCookieReader.py [cookies.binarycookies-file-path])

测试点:
  • 查看Cookie是否长期有效(有效期不能短于登录cookie的有效期,SC为10小时)
  • 敏感信息重点关注“登陆信息、用户身份信息、服务器SQL注入链接、管理员登陆账号密码”一类信息

2. keychain数据存储

(1)什么是keychain

Keychain is an encrypted container (128 bit AES algorithm) and a centralized Sqlite database that holds identities & passwords for multiple applications and network services, with restricted access rights. 虽然keychain的访问有权限控制,但是,在越狱的设备上,是可以查看到所有的keychain存储数据。所以在使用Keychain存储用户敏感信息(如 access_token, password等)时,最好还是要加密。

(2)怎么产看keychain中存储的数据

查看前提:使用越狱的设备

  • 将keychain_dumper文件通过iFunbox 拷贝到设备上
  • ssh连接到设备
  • chmod 777 keychain_dumper
  • ./keychain_dumper

(3)怎么测试

  • keychain中是否存储敏感信息,敏感信息是否加密

3. Console Log 数据

查看Log工具:

Xcode 或者 iPhone Configuration Utility

测试点:

  • 程序是否将敏感信息打印出来
  • 将设备连接PC机,通过Xcode或者 iPhone Configuration Utility查看device log
  • 操作App,执行相关的功能,查看log中是否包含用户敏感信息

4. Keyboard cache

二、 数据通信安全

测试工具:

BurpSuite 安装和使用请参见http://docs.alibaba-inc.com:8090/pages/viewpage.action?pageId=238326793

测试步骤:

  1. 设备设置代理为BurpSuite代理
  2. 操作App,产生通信请求数据
  3. 在BurpSuite代理上查看所有的请求数据,用户敏感信息应该要用HTTPS 请求传送,并且不能够出现在URL中

三、 URL protocol handler / IPC

由于iOS sandbox的权限限制,进程间的数据通信是通过protocol的形式来实现的,实现Protocol的2个API方法为:application:openURL和application:handleOpenURL

测试点:

  • openURL的方法实现中有没有对传入的URL参数做校验
  • openURL有没有校验URL来源是否安全

四、 UIWebView

UIWebView是基于Webkit,和Safari和MobileSafari是使用同一个core framework的,所以App中的UIWebview 和浏览器一样,有可能存在XSS(Cross-Site Scripting)的风险.

测试点:

  • 展示的UIWebView的内容是否存在用户输入的部分,如有,是否可以通过修改输入注入javascript脚本
  • 展示的内容是否可能被攻击者篡改,返回含有注入脚本的内容。
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2017.03.08 ,如有侵权请联系 cloudcommunity@tencent.com 删除
ios
应用安全开发

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

ios
应用安全开发
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
目录
  • 一、数据存储安全
    • 1. Sandbox 数据存储
      • (1) Sandbox 文件存储结构
      • (2)Sandbox 文件导出和查看工具
      • (3)Sandbox中存储的文件,主要有以下几种类型
    • 2. keychain数据存储
      • (1)什么是keychain
      • (2)怎么产看keychain中存储的数据
      • (3)怎么测试
    • 3. Console Log 数据
      • 测试点:
    • 4. Keyboard cache
  • 二、 数据通信安全
    • 测试工具:
    • 测试步骤:
  • 三、 URL protocol handler / IPC
    • 测试点:
  • 四、 UIWebView
    • 测试点:
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论