iOS安全攻防系列汇总

iOS应用逆向工程

知乎专栏：

• iOS安全开发者眼中的越狱iPhone安全性
• iOS安全开发防护摘要
• Reveal查看任意app的高级技巧

书籍推荐：

• 《iOS应用逆向工程:分析与实战》

iOS越狱程序开发

1. 工具篇
2. 构建和部署
3. Your First Tweak
4. 总结

---

• 使用Theos做一个简单的Mobile Substrate Tweak

iOS应用程序安全

1. 搭建移动渗透测试平台
2. 获得iOS应用程序的类信息
3. 理解Objective-C Runtime
4. 用Cycript进行运行时分析(Yahoo天气应用)
5. 用Cycript做运行时分析的高级技巧(Yahoo天气应
6. iOS 7的新安全功能
7. 不用证书安装应用到设备的方法
8. 用Cycript进行Method Swizzling
9. 用Snoop-it分析iOS应用的安全
10. iOS文件系统和取证
11. 分析使用HTTP/HTTPS的网络流量
12. 导出Keychain数据
13. 使用Sogeti Data Protection tools启动定制的Ramdisk
14. 使用Sogeti Data Protection tools收集信息
15. 使用iNalyzer对iOS应用进行静态分析
16. 使用iNalyzer对iOS应用进行动态分析
17. 使用Introspy对iOS应用进行黑盒测试
18. 使用Introspy检测自定义签名
19. 在程序中使用Introspy
20. 本地数据存储及其安全性（NSUserDefaults, CoreData, Sqlite, Plist 文件）
21. ARM和GDB基础
22. 使用GDB进行运行时分析和操作
23. 对抗运行时分析和操作
24. 越狱检测与绕过
25. iOS开发安全编程实践
26. 使用IDA Pro给iOS应用打补丁
27. 简要总结

iOS安全攻防

1. Hack必备的命令与工具
2. 后台daemon非法窃取用户iTunesstore信息
3. 使用Reveal分析他人app
4. 阻止GDB依附
5. 使用Cycript修改支付宝app运行时
6. 使用class-dump-z分析支付宝app
7. Hack实战——解除支付宝app手势解锁错误次数限制
8. 键盘缓存与安全键盘
9. 使用Keychain-Dumper导出keychain数据
10. 二进制和资源文件自检
11. Hack实战——探究支付宝app手势密码
12. iOS7的动态库注入
13. 数据擦除
14. Hack实战——支付宝app手势密码校验欺骗
15. 使用iNalyzer分析应用程序
16. 使用introspy追踪分析应用程序
17. Fishhook
18. 数据保护API
19. 基于脚本实现动态库注入
20. 越狱检测的攻与防
21. 废除应用程序的ASLR特性
22. static和被裁的符号表

苹果关于安全的文档

1. Security Overview
2. Secure Coding Guide
3. iOS Security
4. Cryptographic Services Guide
5. Secure Transport Reference
6. CFNetwork Programming Guide
7. Certificate, Key, and Trust Services Reference
8. Certificate, Key, and Trust Services Programming Guide
9. Keychain Services Reference
10. Keychain Services Programming Guide

 

Posted by TracyYih - 2014-02-14
如需转载，请注明： 本文来自 Esoft Mobile