#小编推书# App漏洞再搞不出大新闻!

管理员账号

2017-01-17

小编说

无论你是要通过探寻、修复编码漏洞为应用设防,还是想通过探究iOS应用结构及Objective-C设计模式捕获他人APP漏洞,《iOS 应用安全权威指南》都会借由以下内容帮助你很好地完成工作。

iOS 安全模型及其内置保护模式的局限

无数种会导致敏感数据泄漏的方式,例如剪贴板导致的泄漏

如何使用钥匙串、数据保护 API 及 CommonCrypto 实现加密

由于 C 语言本身所遗留的缺陷,从而导致 iOS 应用如今会遇到的一些问题

收集用户数据所带来的隐私问题,以及如何避免在收集过程中会遇到的潜在陷阱

关于本书

第一部分: iOS基础,你将深入了解 iOS 的背景,熟悉它的安全历史及其应用程序的基本结构。

第1章:iOS安全模型,简要分析 iOS的安全模型,介绍该平台的基础防范措施,展示它能做什么、不能做什么。

第2章:Objective-C简明教程,解释了 Objective-C与其他编程语言的不同之处,简要介绍了一些专业术语和设计模式。对于经验丰富的 Objective-C程序员来说,这可能并不算什么新的内容,但是对于初学者和初次涉猎 iOS的开发者来说很有价值。

第3章:iOS应用剖析,概述了 iOS应用程序的结构和打包方式,研究了本地的存储机制以及泄露敏感信息的方式。

第二部分:安全性测试,你将学习如何在开发或渗透测试中建立安全的测试环境,我也会分享一些配置 Xcode的小技巧,从而最大化地利用现有的安全机制。

第4章:构建测试平台,工欲善其事必先利其器,本章将介绍所有用到的工具软件,并学习如何配置这些软件,让它们帮助我们来检查和测试 iOS应用。具体来说,本章将会介绍模拟器、配置代理、绕过 TLS 验证以及分析应用的特征行为。

第5章:使用 lldb和其他工具进行调试,你可以使用 lldb和 Xcode 的内建工具来更加深入地监控应用程序的行为,这些工具将帮助你分析代码中的复杂问题,还能帮你实现错误注入这样的功能。

第6章:黑盒测试,深入研究一些工具,学习在没有源代码的情况下对应用程序进行分析。这涉及基本的逆向工程、二进制修改、复制程序以及使用 lldb 的远程实例在设备上进行调试的内容。

第三部分: Cocoa API的安全怪癖,这部分会介绍 Cocoa Touch API中常见的安全隐患。

第7章:iOS网络通信,讨论了网络和安全传输协议(TLS)在 iOS中的工作原理,包括信息认证、证书锁定和 TLS连接中的错误处理。

第8章:进程间通信,介绍进程间的通信机制,包括 URL scheme和最新的通用链接机制。

第9章:适用于 iOS的 Web应用,涉及 Web应用与 iOS原生应用程序的集成,你可以直接使用 Web视图或 JavaScript和 Cocoa的桥接框架 Cordova。

第10章:数据泄漏,讨论了敏感数据泄漏的多种渠道,也许无意中,你的重要数据就会泄漏到本地存储、其他应用或是传播到网络中。

第11章:C语言的遗留问题,介绍 C语言在 iOS应用程序中遗留的漏洞:栈和堆的内存损坏、格式化字符串漏洞、内存释放后又重新使用以及一些 Objective-C变种的经典漏洞

第12章:注入攻击,涉及的攻击主要有 SQL注入、跨站点脚本、 XM注入以及谓词注入,它们都可以用来攻击 iOS应用程序。最后,第四部分:保证数据安全,介绍了数据的隐私和加密问题。

第13章:加密与认证,本章将介绍加密的最佳实践,包括如何正确地使用钥匙串、数据保护 API以及 CommonCrypto框架提供的其他密码学原语。

第14章:移动端隐私问题,在本书的最后一章将会讨论用户隐私,以及收集应用不需要的数据对于用户和开发者来说意味着什么。

读者人群

首先,《iOS 应用安全权威指南》是一本关于安全的书。如果你是一个开发者或者安全专家,并且正在研究 iOS应用存在的漏洞(以及对应的修复方法),那么恭喜你,看这本书就对了!

如果你有一些 iOS开发经验或者熟悉 iOS应用的底层工作机制,那么你将从本书中学到大量的干货。不过,即使没有这些知识,只要你是一个有经验的程序员或渗透测试人员,必要时有钻研苹果官方文档的勇气,那就完全可以畅读本书。我会在第 2章带你快速预览一遍 Objective-C和一些常用的 API,顺便熟悉一下 Cocoa Touch。如果需要强化一下语言方面的基础知识(或者想复习一下),可以从第 2章开始。

作者说

目前市面上有许多与 iOS安全有关的文章,主要涉及 iOS的安全模型、越狱、查找代码执行漏洞以及其他一些安全相关的特性。此外,还有一些文章从取证学角度来介绍,比如在犯罪调查中如何从物理设备或备份中提取数据。这些信息非常有用,但市面上主流的 iOS书籍都在介绍应用开发,而本书的目标是要填补一个更大的空白。

在真实世界中,人们的注意力并没有聚焦在如何开发安全的 iOS应用或对 iOS应用进行安全评估上。由此产生的后果,就是在 iOS应用中存在着一些令人尴尬的安全漏洞,这些漏洞会曝光用户的敏感数据、规避认证机制,甚至滥用用户隐私(无论是有意还是无意的)。随着 iPhone等智能设备的普及,人们越来越多地使用 iOS来处理一些关键任务,并委托这些应用来处理与之相关的大量敏感信息,所以 iOS应用的安全性需要被充分考虑到。

我编写本书的目的,就是尽可能地为读者介绍真实环境中是如何安全地开发 iOS应用程序的。iOS是一个快速更迭的系统,但是我会尽可能讲解一些不变的知识,并教你使用一些工具来剖析 iOS系统,让你能适应未来 API的变化(万变不离其宗)。

不同版本的 iOS存在不同的安全漏洞。虽然苹果已经终结了某些设备的寿命(停产),但是发者仍然希望他们的应用能够运行在这些老旧设备上(比如第一代 iPad)。本书所要展示的漏洞覆盖了(本书完稿之时)从 iOS 5.x到 9.0的系统,针对每一个版本,我都会讨论相应的风险与应对措施。

读者评论

相关博文

  • 社区使用反馈专区

    陈晓猛 2016-10-04

    尊敬的博文视点用户您好: 欢迎您访问本站,您在本站点访问过程中遇到任何问题,均可以在本页留言,我们会根据您的意见和建议,对网站进行不断的优化和改进,给您带来更好的访问体验! 同时,您被采纳的意见和建议,管理员也会赠送您相应的积分...

    陈晓猛 2016-10-04
    3573 598 3 6
  • 迎战“双12”!《Unity3D实战核心技术详解》独家预售开启!

    陈晓猛 2016-12-05

    时隔一周,让大家时刻挂念的《Unity3D实战核心技术详解》终于开放预售啦! 这本书不仅满足了很多年轻人的学习欲望,并且与实际开发相结合,能够解决工作中真实遇到的问题。预售期间优惠多多,实在不容错过! Unity 3D实战核心技术详解 ...

    陈晓猛 2016-12-05
    2293 34 0 1
  • czk 2017-07-29
    2831 21 0 0