彩票走势图

iOS应用程序安全开发须知(二)

原创|行业资讯|编辑:龚雪|2014-06-11 09:39:01.000|阅读 446 次

概述:iOS应用程序因为其特殊性,被攻击的可能也是很高的。在开发过程中,需要从三个方面考虑程序安全性。

# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>

相关链接:

本地文件和数据安全

程序文件的安全

iOS 应用的大部分逻辑都是在编译后的二进制文件中,但由于近年来混合式(Hybrid)编程方式的兴起,很多应用的部分功能也采用内嵌Web浏览器的方式来实 现。例如腾讯QQ iOS客户端的内部,就有部分逻辑是用Web方式实现的。由于iOS安装文件其实就是一个zip包,所以我们可以通过解压,看到包内的内容。以下是我解开 腾讯QQ客户端,看到的其qqapi.js文件的内容。

文件内容

可以看到,这些文件都有着完整清晰的注释。通过分析这些JavaScript文件,黑客可以很轻松地知道其调用逻辑。在越狱手机上,还可以修改这些JavaScript代码,达到攻击的目的。

我也曾尝试查看支付宝客户端中的彩票功能,通过分析,也可以找到其完整的、带着清晰注释的JavaScript代码,如图3所示(支付宝现在已对相应代码进行了加密)。

支付宝应用内的JavaScript文件
图3  支付宝应用内的JavaScript文件

通过将JavaScript源码进行混淆和加密,可以防止黑客轻易地阅读和篡改相关的逻辑,也可以防止自己的Web端与Native端的通信协议泄漏。

本地数据安全

iOS 应用的数据在本地通常保存在本地文件或本地数据库中。如果对本地的数据不进行加密处理,很可能被黑客篡改。比如一款名为《LepsWorld 3》的游戏,打开它的本地文件,可以很容易地找到,它使用了一个名为ItempLifes的变量保存生命数值(如图4所示)。于是我们可以简单修改该值, 达到修改游戏参数的目的。而在某宝上,也可以找到许多以此挣钱的商家。对于本地的重要数据,我们应该加密存储或将其保存到keychain中,以保证其不被篡改。

本地数据
图4  《LepsWorld 3》的本地数据

资源分享:

原文地址://www.csdn.net/article/2014-05-28/2819994

通信安全工具:

IP*Works! Internet Toolkit v9.0

IP*Works! EDI/AS2 v9.0

IP*Works! S/MIME v9.0      IP*Works! SSH      IP*Works! SSL

代码混淆工具:

.NET Reactor v4.9     Dotfuscator     DashO Pro v7.3

Zend Guard


标签:软件安全通信技术网络安全数据安全

本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@capbkgr.cn


为你推荐

  • 推荐视频
  • 推荐活动
  • 推荐产品
  • 推荐文章
  • 慧都慧问
相关产品
IP*Works! Internet Toolkit

最优化的网络通讯组件包,包含电子邮件、网络管理、文件传送、telnet、 HTTP等功能

IPWorks SSL

为桌面或网络应用程序加入安全连接功能

IPWorks S/MIME

为邮件、文件、新闻组文章提供S/MIME安全的组件

PreEmptive Protection Dotfuscator

Dotfuscator是一款.NET混淆器和压缩器,防止您的应用程序被反编译。

DashO for Android and Java

DashO-Pro是第三代的Java混淆器(obfuscator)、压缩机(compactor)、优化工具和水印工具(watermarker)。

扫码咨询


添加微信 立即咨询

电话咨询

客服热线
023-68661681

TOP