• 售前

  • 售后

热门帖子
入门百科

安全测试(六)iOS ipa软件安全 APP应用安全 手机软件安全 ipa安全 ipa反编

[复制链接]
冰下的火圆 显示全部楼层 发表于 2022-1-15 22:33:28 |阅读模式 打印 上一主题 下一主题
目次
一、前言
二、iOS ipa软件安全
1、ipa 简介
2、ipa 提取
         2.1 工具提取 失败案例
         2.2 转包软件提取 失败案例
         2.3 日志分析捕获 失败案例
         2.4 内测二维码分享 乐成案例
3、ipa Info.plist 设置文件分析
4、ipa日志分析
        4.1 Windows下爱思助手
        4.2 Windows下开源工具 libimobiledevice
        4.3 黑苹果安装Mac后利用
        4.4 Mac真机调试
5、ipa反编译
三、iOS应用安全 完备大纲
[url=https://blog.caogenba.net/#1.%C2%A0AirCrk'%20rel=]1. AirCrk's Blog深圳某互联网公司信息安全工程师[/url]
2、某宝iOS服务关键词
四、竣事语

一、前言

        通过上一篇的学习到了Android移动端APK安全通例查抄方法,类推iOS应用ipa安全方法思绪大同小异,利用工具清静台略有差异。
本文教学常用的方法和本事,深入教学的暂无。




二、iOS ipa软件安全

1、ipa 简介

        iPA是Apple步伐应用文件iPhoneApplication的缩写。简单来说,Mac 下的软件就像是 Windows 下的绿色软件一样,解压后即可利用,不必要安装,卸载的话也只用删除步伐文件即可(这里不涉及 pkg 格式安装包)。
Android场景的安全包格式即为apk后缀名

2、ipa 提取

        2.1 工具提取 失败案例

        通过查阅资料获取可通过工具提取ipa,常用的iTools、爱思助手等,实行发现部分包可提取,部分不可。推测应用有防护设置或iOS体系版本升级后工具支持失效。

         2.2 转包软件提取 失败案例

   利用步调:
  1、启动抓包软件,手机端或PC电脑端
  2、更改手机WiFi署理ip和端标语
  3、安装https证书,抓取https接口数据
  4、打开App Store,搜索目的软件
  5、点击下载,捕获抓包纪录并过滤分析
  通过上述利用步调实际未捕获乐成

参考某教程Thor抓包乐成案例,实际本人未乐成……,大概是Apple官方有更新或本人利用失误吧

          2.3 日志分析捕获 失败案例

        通过爱思助手实时捕获已毗连装备的日志导入分析ipa毗连所在,有劳绩但是实际下载ipa无效有标题。

 失败截图和按钮暂不上传了


           2.4 内测二维码分享 乐成案例

        网上搜集资料看到内测码,通过扫码和欣赏调试获取到了实际跳转所在和xml或jSON文件。
       

 抓包分析并利用Chrome调试模仿iPhone手机访问获取到下载所在

 url解码实行访问和下载文件并打开,获取到有效所在

 下载完毕

 ps:仅代表一种思绪办理标题的方法,不是全部都利用,必要多种方法去实行。

3、ipa Info.plist 设置文件分析

可参考本人GitHub案例 
  1. <code>https://github.com/Github-Benjamin/iOS-checkIPA
复制代码
GitHub - Github-Benjamin/iOS-checkIPA: Java Scans an IPA file and parses its Info.plist and embedded.mobileprovision files. Performs checks of expected key/value relationships and displays the results.

工具示例图

ipa文件分析.txt
   <code>https://github.com/Github-Benjamin/iOS-checkIPA/blob/master/AnalysisRecord/ipa%E6%96%87%E4%BB%B6%E5%88%86%E6%9E%90.txt
  1. <code>iOS Info.plist
  2. Android AndroidManifest.xml
  3. 在线解析:
  4. http://www.atool.org/plist_reader.php
  5. 在线扫描:
  6. https://www.virustotal.com/
  7. ----------------
  8.   文件基本信息
  9. ----------------
  10. CFBundleIconFiles icon
  11. CFBundleName | name
  12. CFBundleIdentifier | packge
  13. CFBundleShortVersionString | versionName
  14. CFBundleVersion | versionCode
  15. MinimumOSVersion | Min.SDK
  16. 证书MD5 | 目前缺失
  17. 文件信息:
  18. 文件名路径
  19. MD5
  20. 大小
  21. 签名信息:embedded.mobileprovision
  22. Name | string | iOS Team Inhouse Provisioning Profile: xxx
  23. AppIDName | string | XC com xxx
  24. UUID | string | xxx
  25. TeamName | string | xxx
  26. CreationDate | date 无需要该信息 | 2018-04-28T06:52:43Z
  27. ExpirationDate | date | 2018-12-15T04:23:56Z
复制代码

4、ipa日志分析

        4.1 Windows下爱思助手

部分应用日志文件当地存储可检察

获取手机实时日志



        4.2 Windows下开源工具 libimobiledevice

Github所在
  1. <code>https://github.com/libimobiledevice/libimobiledevice
复制代码

文档纪录未便逐一展示

 利用关键点
  1. <code>iOS测试整理(imobiledevice).txt
  2. iOS测试命令简介:
  3. https://www.jianshu.com/p/cff879e5ca65
  4. https://www.cnblogs.com/578y/p/6043649.html
  5. 介绍文档:
  6. https://testerhome.com/topics/15440
  7. http://docs.quamotion.mobi/imobiledevice/tools/
  8. http://docs.quamotion.mobi/imobiledevice/download/
  9. iOS系统依赖包:
  10. https://www.jianshu.com/p/42e506998082
  11. https://pan.baidu.com/s/1mhFZl6w srur
复制代码
        4.3 黑苹果安装Mac后利用

        黑苹果针对没有Mac装备但是必要学习和深入相识开辟和测试的用户,可以去深入相识一下
        4.4 Mac真机调试

        Xcode开辟工具,其他请查阅资料

5、ipa反编译

        暂未乐成实行过,黑苹果装备已卖闲鱼暂未更新和深入研究,感爱好的可以去自行学习。

        保举工具Hopper Disassembler,Windows版本不好用13年的版本工具迭代更新不实时不好用。


三、iOS应用安全 完备大纲

1. AirCrk's Blog深圳某互联网公司信息安全工程师

  1. <code>https://www.cnblogs.com/AirCrk
复制代码

2、某宝iOS服务关键词

   关键词:
  苹果ipa
  ipa文件提取
  ipa脱壳
  ipa砸壳
  ipa抓包
  旧版本
  汗青版本
  去壳安装服务器
  ……
  


四、竣事语

逆向安全?






如果以为文章写不错,那就点个赞,点个收藏吧。
可关注微信公众号,后期有推文






免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

帖子地址: 

回复

使用道具 举报

分享
推广
火星云矿 | 预约S19Pro,享500抵1000!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

草根技术分享(草根吧)是全球知名中文IT技术交流平台,创建于2021年,包含原创博客、精品问答、职业培训、技术社区、资源下载等产品服务,提供原创、优质、完整内容的专业IT技术开发社区。
  • 官方手机版

  • 微信公众号

  • 商务合作