安全检查项
- 移动App上关键数据(密码、个人信息等)在存储、传输等各个阶段需要做一定的安全保护。下图罗列了常见的检查项。
传输安全
保密性,消息是加密的,内容没有泄露,可以用对称加密算法进行加解密,如AES256。
完整性,消息是完整的,内容没有被篡改,对消息做哈希得到摘要,作为消息的签名。哈希算法有SHA256等,MD5、SHA1已经不太安全,尽量用SHA256等相对安全的算法。
真实性,消息是可靠的,内容来自受信的来源,验证来源的数字证书是否可靠。
常见工具
class-dump-z
一个跨平台的 Objective-C 接口提取器,用于分析 iPhoneOS 可执行文件中私有的 API。需 通过 Cydia 安装。darwin cc tools (otools) 一个开源的苹果程序编译和连接器。需通过 Cydia 安装。
HTTP代理抓包工具(Fiddler)
Plist文件查看器(plistEditor)
iOS内存修改工具(iGameGuard)
内购破解工具(LocalIAPStore、iAPFree)
keychain-dumper
该工具可以读取已越狱 IOS 设备中的 keychain。需通过 Cydia 安装。Link Identity Editor (ldid)
该工具可以协助测试人员修改 Mach-O 二进制文件的签名信息。需通过 Cydia 安装。OpenSSH
OpenSSH 是 Linux 下常用的服务,装上后设备可充当 SSH 服务端。需通过 Cydia 安装。Snoop-it
IOS APP 安全评估工具。可对 APP 进行静态、动态分析。需通过 Cydia 安装。