亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

iOS開發怎樣避免安全隱患

發布時間:2021-09-09 14:54:44 來源:億速云 閱讀:135 作者:chen 欄目:移動開發

本篇內容主要講解“iOS開發怎樣避免安全隱患”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實用性強。下面就讓小編來帶大家學習“iOS開發怎樣避免安全隱患”吧!

一、網絡方面

用抓包工具可以抓取手機通信接口的數據。以Charles為例,用Charles可以獲取http的所有明文數據,配置好它的證書后就可以模擬中間人攻擊,獲取https加密前的明文數據。

1.1 中間人攻擊

先簡要地說下什么是中間人攻擊:

①客戶端:“我是客戶端,給我你的公鑰” -> 服務端(被中間人截獲)。

所以現在是:

客戶端->中間人

②然后中間人把消息轉給服務端,也就是:

中間人->服務端

③服務端把帶有公鑰的信息發送給客戶端,但是被中間截獲。所以是:

服務端-[服務端的公鑰] ->中間人

④中間人把服務端的公鑰替換成自己的公鑰,發送給客戶端,聲稱是服務端的公鑰:

中間人-[中間人的公鑰] ->客戶端

⑤客戶端用得到的公鑰加密,實際是用中間人的公鑰進行加密,所以中間人可以用自己的私鑰解密,獲取原始數據,然后再用服務端的公鑰對原始數據(或者修改原始數據內容)加密后發送給服務端。

這樣中間人就可以獲取到雙方的通信數據,并可以制造虛假數據。

1.2 如何防范中間人攻擊?

下面開始說如何防范:

1.2.1 SSL Pinning

SSL Pinning的原理就是把服務端的公鑰存到客戶端中,客戶端會校驗服務端返回的證書是否和客戶端保存的一致,這樣就避免了中間人替換證書進行的攻擊。

SSL Pinning的實現比較簡單,只需要把CA證書放入項目中,通過Security framework實現NSURLSession上的SSL Pinning。如果用的是AFNetworking,代碼更簡單一點:

iOS開發怎樣避免安全隱患

這樣通過Charles抓包就會報錯。

iOS開發怎樣避免安全隱患

證書驗證有可以只驗證公鑰(AFSSLPinningModePublicKey),也可以完全驗證證書(AFSSLPinningModeCertificate)。

但是用SSL Pinning有個很嚴重的問題,就是如果證書有問題,只有發布新版本才能解決。如果新版本一直審核不通過,app的網絡通信就全部掛掉了。

比如賽門鐵克(Symantec)證書被google和iOS12不信任的問題。如果app內置了證書,就必須要重新發版。

1.2.2 接口內容進行加密

很多的app接口只對請求的參數進行加密和各種驗證,而接口返回過來的數據就是明文。如果不用SSL Pinning來防止中間人攻擊,也可以把接口返回的數據也進行加密,這樣抓包工具抓到包后也依然不能破解。

比如微信,微信中的接口用的是http協議,但是內容全部進行了加密。

iOS開發怎樣避免安全隱患

現在常用的是對稱加密,加密效率比較快。如果app里有的數據特別重要,還是要用非對稱加密,非對稱加密更安全,但是效率會比較慢。

二、日志

2.1 Swift日志

Swift中打印日志的語法可以用print,也可以用NSLog。但是盡量別用NSLog,因為Swift中用NSLog,系統日志中是能查到的。可以通過pp助手、iTools或者Xcode的Devices and Simulators 來查看系統日志。

用print打印日志就不會出現在系統日志中。

2.2 OC日志

在release環境下不要輸出NSLog日志。一般大家都會用宏定義解決,如下:

iOS開發怎樣避免安全隱患

三、信息的存儲

3.1 密鑰

大部分的程序員喜歡直接把密鑰放到宏或者常量里。

如:#define AES_KEY @“aaa123"

這樣做很容易就可以被反編譯出來。安全性比較差。可以用以下方法加強安全,增加破解的難度。

對密鑰(A)進行加密后定義為宏(B),使用的時候進行解密得到密鑰(A)。其中對密鑰A加密的密鑰為C。

因為在宏定義的時候我們如果定義成字符串,會直接存在data段,這樣破解者很容易獲取到。比較安全的做法是把C和B定義成uint8_t[]數組,這樣每個字符就會放到text段的每個單獨指令中。指令執行后生成字符串。這樣就會很安全。

用一段長文本,按規則提取出里面的密鑰,密鑰是隨機的。

在服務端和客戶端定義一段長文本,app端隨機生成起始位置和長度,把起始位置和長度進行移位等操作,生成相應的數字,對數字進行Base64編碼,生成的字符串 傳給服務端,服務端根據這個字符串 就能 解析出相關的密鑰。

代碼如下:

iOS開發怎樣避免安全隱患

這樣只是增加了破解者獲取密鑰的難度,其實并不能完全阻止破解者獲取。

3.2 Keychain

越獄的iPhone可以查看導出Keychain保存的信息。Keychains的內容存放在sqlite中,目錄為:/private/var/Keychains。可以通過keychain-dump可以查看鑰匙串里存放的的內容。

所以保存到Keychain的數據一定要是加密之后的數據。

3.3 plist、sqlite

plist、sqlite可以直接在ipa安裝文件中獲取到,所以不要在這些文件中存放重要信息,如果要保存,就進行加密后再存放。

四、app加固

4.1 代碼混淆

代碼混淆就是把易讀的類名、方法名替換成不易讀的名字。常用的方法有宏替換和腳本替換。

比如本來方法名為:- (void)loadNetData; 進行代碼混淆后,用class-dump導出頭文件后會顯示成修改后的方法名:- (void)showxhevaluatess;

4.2 用C語言

核心代碼用C語言寫,但是C語言的函數也可以被hook,比如用fishhook。開發人員可以用靜態內聯函數來防止hock,破解者就只能去理解代碼的邏輯。

4.3 檢測tweak

可以檢測 /Library/MobileSubstrate/DynamicLibraries 下的 plist 文件里是否包含自己app的bundle id。如果包含,可以進行限制app的功能、提示該手機不安全 等。

到此,相信大家對“iOS開發怎樣避免安全隱患”有了更深的了解,不妨來實際操作一番吧!這里是億速云網站,更多相關內容可以進入相關頻道進行查詢,關注我們,繼續學習!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

ios
AI

湖口县| 潼南县| 汉源县| 白朗县| 淮北市| 吴江市| 锡林郭勒盟| 高平市| 文安县| 三门峡市| 垦利县| 临朐县| 海兴县| 南漳县| 滦平县| 巴林右旗| 台北市| 曲沃县| 南安市| 新化县| 丹寨县| 雷山县| 黄冈市| 新干县| 渑池县| 文登市| 新昌县| 西城区| 基隆市| 阳西县| 遂昌县| 花莲市| 新蔡县| 通榆县| 石楼县| 蒙山县| 和顺县| 新郑市| 和政县| 东平县| 铜梁县|