51Testing软件测试论坛

标题: iOS App 安全测试 [打印本页]
作者: 测试积点老人    时间: 2018-12-10 12:00
标题: iOS App 安全测试
本帖最后由 测试积点老人 于 2018-12-10 12:02 编辑

一、数据存储安全
主要从以下几个方面考虑

1. Sandbox 数据存储(1) Sandbox 文件存储结构

[attach]119931[/attach]


(2)Sandbox 文件导出和查看工具iFunbox, iTools 等等


(3)Sandbox中存储的文件,主要有以下几种类型

a. Plist files

查看工具:  Xcode(Mac),plistEditor(windows)


测试点:
b. sqlite查看工具: sqlite manager


测试点:
c. Cookie查看工具:
BinaryCookieReader.py (用法: 将cookie文件导出到PC端,python BinaryCookieReader.py [cookies.binarycookies-file-path])


测试点:
2. keychain数据存储1)什么是keychain
Keychain is an encrypted container (128 bit AES algorithm) and a centralized Sqlite database that holds identities & passwords for multiple applications and network services, with restricted access rights. 虽然keychain的访问有权限控制,但是,在越狱的设备上,是可以查看到所有的keychain存储数据。所以在使用Keychain存储用户敏感信息(如 access_token, password等)时,最好还是要加密。

2)怎么产看keychain中存储的数据查看前提:使用越狱的设备

3)怎么测试
3. Console Log 数据查看Log工具:
Xcode 或者 iPhone Configuration Utility


测试点:
4. Keyboard cache二、 数据通信安全测试工具:BurpSuite

测试步骤:
三、 URL protocol  handler / IPC
由于iOS sandbox的权限限制,进程间的数据通信是通过protocol的形式来实现的,实现Protocol的2个API方法为:applicationpenURL和application:handleOpenURL


测试点:
四、 UIWebViewUIWebView是基于Webkit,和Safari和MobileSafari是使用同一个core framework的,所以App中的UIWebview 和浏览器一样,有可能存在XSS(Cross-Site Scripting)的风险.


测试点:











欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2