iOS应用目录分析

2. 应用主目录文件分析
App store应用存放在/private/var/mobile/Application/[GUID]中
（1）Documents文件夹
用户存档文件，检查是否有不安全的文件存储，例如明文存储，base64编码存储,可以用iToolsGUI工具检查

（2）Library文件夹
1）Library/Preferences/ 偏好设置文件，一般为plist格式，可以用plist editor Pro for windowsGUI工具打开，也可以直接用plutil命令行工具编辑
plutil plistFileName

2）Library/Caches/ 保存应用的持久化数据，用于应用升级或者应用关闭后的数据保存，为永久保存，一般为sqlite3格式，可以用SQLite Database BrowserGUI工具打开，也可以直接用sqlite3命令行工具编辑。当然也有plist格式存储的，查看方法见上面。
该文件夹下有个Library/Caches/Snapshots/文件夹，用于存储应用的屏幕快照。在进行源码审查时，请检查keyWindow.hidden选项的设置，避免存储敏感应用屏幕
sqlite3 databasename

3）Library/Cookies/ 保存Safari浏览器和iOS应用的持久性cookie，一般文件名为Cookies.binarycookies, 我们已经很熟悉PC上的cookie存储了，例如IE将持久性cookie以明文文本的形式存储在临时目录中，而firefox与chrome则采用sqlite3数据格式存储。我们可以使用SecurityLearn提供的python脚本工具Cookies.binarycookies Reader读取其中的内容
python BinaryCookieReader.py Cookies.binarycookies

4）Library/Webkit 保存webkit本地存储文件，有的应用没有该文件夹

（3）AppName.app文件夹
1）Info.plist文件 APP相关信息
2）iTunesMetadata.plist文件 购买者信息文件
3）SC_Info文件夹，签名相关文件
4) _CodeSignature文件夹，签名相关文件
5）其他资源文件




详见iOS平台游戏安全再议之存档修改与防御


检查对象：越狱/非越狱设备
检查列表：
（1）重要信息是否加密存储
（2）本地存档是否可修改（包括明文格式，base64格式，二进制格式），检查应用是否会检测存档的完整性
（3）本地存档是否可替换，用低版本存档替换高版本存档（往往低版本应用的安全性都不好，因此可作＊＊弊的几率大），不同id存档替换（例如用高分存档替换低分存档），检查应用是否会检测存档的唯一性
工具：各种文件格式对于的编辑器iTools 、plist editor Pro for windows、SQLite Database Browser 、Cookies.binarycookies Reader、UltraEdit



二、内存数值分析（动态分析）



详见iOS平台游戏安全再议之八门神器内存修改，IAP Free游戏内购破解的防御


检查对象：越狱设备
检查列表：
（1）检查内存中游戏进程中的重要数值是否可定位修改
工具：八门神器，gdb



三、APP store IPA破解（动态分析）

详见iOS平台游戏安全之IPA破解原理及防御
检查对象：越狱设备
检查列表：
（1）app store版IPA是否可破解，应用是否对破解版本
的IPA进行检测处理

工具：Clutch



四、支付分析（动态分析）
1. IAP （in-appstore-purchase)




详见in-appstore.com免费内购方法的完整分析


检查列表：
（1）对越狱设备，IAP Cracker是否有效
（2）对越狱设备，IAP Free是否有效
（3）对越狱设备，LocalIAPFree是否有效
（4）对越狱设备，俄罗斯伪造苹果服务器是否有效
（5）对越狱设备，xCon+IAP Cracker是否有效
（6）对越狱设备，xCon+IAP Free是否有效
（7）对越狱设备，xCon+LocalIAPFree是否有效
（8）对越狱设备，xCon+俄罗斯伪造苹果服务器是否有效

（9）对非越狱设备iOS 5.1.1，俄罗斯伪造苹果服务器是否有效
工具：IAP cracker，IAP Free，LocalIAPFree，xCon



2. 第三方支付平台

可参考 支付漏洞的三种常见类型
分析方法主要从通信包分析和对API接口进行源码审计
待续。。。



五、通信包分析（动态分析）
1. http/https

（1）HTTP
详见mobile app 通信分析方法小议（iOS/Android)
工具：BurpSuite，Fiddler


（2）HTTPS
详见iPhone上使用Burp Suite捕捉HTTPS通信包方法，iOS SSL kill switch


工具：BurpSuit，ios-ssl-kill-switch，turstme

检查列表：同web应用漏洞
（1）关注移动广告平台是否收集移动设备中的隐私数据（目前发送设备UDID，Mac地址貌似时稀松平常的事情，但发送设备内部应用安装列表，联系人方式就需要禁止了）
（2）0Auth安全性

待续




2 sockets



详见：实时抓取移动设备上的通信包(ADVsock2pipe+Wireshark+nc+tcpdump)


工具：wireshark，ADVsock2pipe，TCPdump，Mallory
检查列表：（主要是中间人攻击）
（1）封包是否可以修改
（2）封包是否可以重放



六、后续工作前面介绍的都是手动的从应用的各个方面（文件系统，通信，可执行文件，业务逻辑）进行安全审计，比较期望将来能有一款像web应用安全审计／漏洞检测那么成熟的自动化工具。目前为止，我知道的唯一有作用的iOS半自动化审计工具是iAuditor——iOS APP安全审计工具，这款工具，存在目前市场上免费工具共有的缺陷，那就是过于理论，对实际APP的安全审计有点鸡肋，但聊胜于无。（欢迎推荐好的自动化／半自动iOS应用安全审计工具）
总的来说，对iOS应用安全审计而言，除了黑盒／灰盒审计外，再就是对源码进行的白盒审计，HP的Fortify SCA貌似还蛮成熟的，我也收集了一些国外安全团队的源码审计白皮书，但总觉得对于真实的iOS应用都过于理论。计划后期写一篇对真实应用有参考作用的iOS应用源码审计checklist，或者能更近一步编写一个开源的自动化审计工具。加油