< 返回首页

标哥的笔记,是记录在日常学习技术和日常开发中那些年遇到过的坑!本站为新站,原"标哥的技术博客"中的文章会慢慢移到本站,欢迎收藏本站!
在使用本站过程中,有任何建议请联系标哥! 另,承接App开发、网站开发和微信小程序开发!欢迎联系我们


iOS业界安全领域问题收集

 作者:标哥    发布日期:2017-01-11 12:11    阅读量:384次
 

iOS业界安全领域问题。以下内容是收集于网络的关于iOS App主要涉及到的安全系列问题。

由于公司需求,需要做应用安全防护工作,但是都没有经验,所以只能提前做好调研工作,收集统一一下业界内的应用通常都是从哪些方面来处理安全性问题的。

网络安全

1、数据传输安全性问题:与用户隐私相关的数据传输涉及到安全性问题。hacker可以通过抓包就可以看到相关用户的数据,因此需要做好加密处理,防止易破解。

2、防止通信协议被破解:一旦通信协议被破解,黑客很容易就可以模拟客户端登录,进行一系列行为,而此时都是合法行为了。因此,需要做好防止数据被篡改和防止通信协议被破解。

本地安全

1、程序文件的安全性:如果有native与js文件交互源代码,若关系到安全性,要注意文件代码的加密,防止他人反汇编后可以看到文件的内容

2、本地数据存储安全性:对于本地的重要数据,我们应该加密存储或将其保存到keychain中,以保证其不被篡改。对于一些较为重要的数据存储在本地时,比如数据库、文件,都应该加密处理。

3、越狱手机可以使用Keychain-Dumper导出keychain数据 http://blog.csdn.net/yiyaaixuexi/article/details/18404343

4、越狱手机可以有更多的权限做不应该做的事,因此安全性问题就突出了。在App中应该要检测手机是否越狱,做好越狱手机安全防护工作 http://blog.csdn.net/yiyaaixuexi/article/details/20286929

5、代码混淆:通过file、class-dump、theos、otool等工具,黑客可以分析编译之后的二进制程序文件,不过相对于这些工具来说,IDA的威胁最大。IDA是一个收费的反汇编工具,对于Objective-C代码,它常常可以反汇编到可以方便阅读的程度,这对于程序的安全性,也是一个很大的危害。因为通过阅读源码,黑客可以更加方便地分析出应用的通信协议和数据加密方式。经过class_dump后,若代码名称可直接猜出业务意图,则存在很大的风险,因此可以通过在编译时混淆方法名和参数名等 http://blog.csdn.net/yiyaaixuexi/article/details/29201699

6、数据擦除:当传参数或者使用某个变量,当使用完一次就不使用了,应该立即擦除,防止黑客利用。 http://blog.csdn.net/yiyaaixuexi/article/details/18669201

7、不要将敏感信息NSLog打印出来

第三方安全

1、必须从AppStore下载安装和更新Xcode,防止XcodeGhost问题

2、检查所引用的第三方库是否被XcodeGhost感染,现在出现少数App上架被打回的原因是项目被XcodeGhost,经检测是第三方库所引起的


承接:ThinkPHP项目开发、网站项目开发、微信项目开发、微信小程序项目开发、App开发,欢迎联系标哥QQ632840804