iOS 應用安全權威指南 (IOS Application Security:the Definitive Guide for Hackers and Developers) iOS应用安全权威指南

<內容簡介>

對於所有希望保護用戶免受惡意攻擊的開發者來說，消除iOS 應用當中的安全漏洞至關重要。在本書中，移動端安全專家David Thiel 向你揭示了那些會導致嚴重安全問題的常見iOS 編碼漏洞，並闡述了找到並修復這些漏洞的方法。避免在應用的安全漏洞方面出現重大紕漏很重要。無論是需要加強應用的防禦能力，還是要在他人的代碼當中尋找安全漏洞，本書都能幫助你很好地完成工作。本書適合有一定經驗、正致力於探究iOS 應用漏洞的開發者，也適合對滲透測試感興趣的讀者。

<章節目錄>

推薦序

譯者序

作者簡介

前言

致謝

第一部分 iOS基礎

第1章 iOS安全模型
安全啟動
沙盒機制
數據保護和全盤加密
加密密鑰的層級
鑰匙串API
數據保護API
防禦代碼漏洞：ASLR、XN和其他機制
越獄檢測
蘋果商店的審查是否有用
WebKit橋接
動態修復
故意植入不安全的代碼
內嵌解釋器
小結

第2章 Objective—C簡明教程
關鍵的iOS編程技術
消息傳遞
剖析Objective—C程序
聲明一個接口
具體實現
使用block指定回調
Objective—C如何管理內存
自動引用計數
委託和協議
should消息
will消息
did消息
聲明並遵守協議
category的潛在問題
方法swizzling
小結

第3章 iOS應用剖析
對plist文件進行處理
設備目錄
Bundle目錄
Data目錄
Documents和Inbox目錄
Library目錄
tmp目錄
Shared目錄
小結

第二部分 安全性測試

第4章 構建測試平臺
拆掉輔助輪
推薦幾個測試設備
使用設備測試與使用模擬器測試
網絡和代理設置
繞過TLS驗證
用stunnel繞過SSL
設備上的證書管理
在設備上設置代理
Xcode和構建設置
為生活增加點挑戰
啟用完整的ASLR
Clang和靜態分析
AddressSanitizer和動態分析
使用Instruments監控程序
激活工具
用Watchdog監視系統活動
小結

第5章 使用lldb和其他工具進行調試
lldb中有用的特性
操作斷點
查看幀和變量
可視化查看對像
操作變量和屬性
斷點行為
使用lldb進行安全分析
錯誤註入
追蹤數據
查看核心框架
小結

第6章 黑盒測試
安裝第三方應用程序
使用.app目錄安裝
使用.ipa程序包安裝
解密二進製文件
啟動設備上的debugserver
定位加密字段
轉儲應用程序內存
逆向解密後的二進製文件
使用otool檢查二進製文件
使用class—dump獲得類信息
使用Cycript從運行程序中提取數據
使用Hopper反彙編
繞過證書鎖定
使用CydiaSubstrate工具
使用Introspy自動攔截
小結

第三部分CocoaAPI的安全怪癖

第四部分保證數據安全