發表於2024-11-05
無論你是要通過探尋、修復編碼漏洞為應用設防,還是想通過探究iOS應用結構及Objective-C設計模式捕獲他人APP漏洞,本書都會藉由以下內容幫助你很好地完成工作。
√ iOS 安全模型及其內置保護模式的局限
√ 無數種會導緻敏感數據泄漏的方式,例如剪貼闆導緻的泄漏
√ 如何使用鑰匙串、數據保護 API 及 CommonCrypto 實現加密
√ 由於 C 語言本身所遺留的缺陷,從而導緻 iOS 應用如今會遇到的一些問題
√ 收集用戶數據所帶來的隱私問題,以及如何避免在收集過程中會遇到的潛在陷阱
對於所有希望保護用戶免受惡意攻擊的開發者來說,消除iOS 應用當中的安全漏洞至關重要。在本書中,移動端安全專傢David Thiel 嚮你揭示瞭那些會導緻嚴重安全問題的常見iOS 編碼漏洞,並闡述瞭找到並修復這些漏洞的方法。避免在應用的安全漏洞方麵齣現重大紕漏很重要。無論是需要加強應用的防禦能力,還是要在他人的代碼當中尋找安全漏洞,本書都能幫助你很好地完成工作。本書適閤有一定經驗、正緻力於探究iOS 應用漏洞的開發者,也適閤對滲透測試感興趣的讀者。
程偉,SwiftGG 翻譯組核心成員,曾做過路由器、防火牆等安全硬件産品的 firmware 研發工作,對 iOS 開發也頗有研究,自 Swift 發布以來一直關注著它的發展,並保持有對新技術的熱忱。目前就職於某國企負責項目管理工作,業餘時間喜歡看書、跑步、燒菜,研究大前端技術棧,希望能通過自己的努力為國內的技術發展添磚加瓦。馬超,iOS 開發工程師,目前就職於某金融公司手機炒股部門,SwiftGG 翻譯組核心成員。自 Apple 推齣 Swift 語言之後開始學習並應用到 iOS 項目開發中,已上架多款應用到 App Store,目前專注於 Server-Side Swift 的開發,正在構思實現一個底層開源庫;業餘時間喜歡逛技術博客,翻譯外文以及和技術大牛交流學習。新浪微博@Ninth_Day。李俊陽(星夜暮晨),Realm 中文翻譯,SwiftGG 翻譯組核心成員,《Xcode 江湖錄》作者之一。沉迷 Swift,自 Swift 發布以來一直在探索和學習 Swift 的開發和使用;熱愛開源,多次嚮 Swift、Realm Cocoa 開源庫貢獻代碼;喜歡獨闢蹊徑,目前在 App Store 上架瞭專門為彝族同胞開發的「彝文輸入法」,希望通過自己的努力讓所有人都能享受科技帶來的便利。 戴維?希爾在計算機安全領域有近20年的經驗,他的研究成果和著作Mobile Application Security(麥格勞-希爾齣版公司)促進瞭iOS應用安全領域的誕生,他還多次在安全大會(比如Black Hat和DEF CON)上進行演講。希爾曾在iSEC擔任多年應用安全顧問,目前就職於Internet.org的Connectivity實驗室。
作者簡介
David Thiel在計算機安全領域有近 20年的經驗,他的研究成果和著作
Mobile Application Security(McGraw-Hill齣版社齣版)促進瞭 iOS應用安全領域的發展,他還多次在安全大會(比如 Black Hat和 DEF CON)上進行演講。 Thiel曾在 iSEC擔任多年應用安全顧問,目前就職於 Internet.org的 Connectivity實驗室。
技術評審者
Alban Diquet是軟件工程師和安全研究員,主要研究領域包括 iOS安全協議、數據隱私和移動安全。Diquet曾發布過幾個開源的安全工具,包括 SSLyze、iOS SSL Kill Switch和 TrustKit。此外,他也經常齣席各種安全會議,包括 Black Hat、 Hack in the Box和 Ruxcon。
目錄
推薦序 ......................................................................................................................... V
譯者序 ....................................................................................................................... VII
作者簡介 ..................................................................................................................... IX
前言 ............................................................................................................................ XI
緻謝 ......................................................................................................................... XXI
第一部分 iOS 基礎
第1 章 iOS 安全模型 ................................................................................................ 2
安全啓動 ........................................................................................................................... 3
沙盒機製 ........................................................................................................................... 3
數據保護和全盤加密 ........................................................................................................ 4
加密密鑰的層級........................................................................................................ 5
鑰匙串API ................................................................................................................ 7
數據保護API ............................................................................................................ 7
防禦代碼漏洞:ASLR、XN 和其他機製 ....................................................................... 8
越獄檢測 ........................................................................................................................... 9
蘋果商店的審查是否有用 .............................................................................................. 10
WebKit 橋接 ............................................................................................................ 11
XXIV iOS應用安全權威指南
動態修復 ................................................................................................................. 11
故意植入不安全的代碼 .......................................................................................... 12
內嵌解釋器 ............................................................................................................. 12
小結 ................................................................................................................................ 12
第2 章 Objective-C 簡明教程.................................................................................. 13
關鍵的iOS 編程技術 ..................................................................................................... 14
消息傳遞 ......................................................................................................................... 14
剖析Objective-C 程序 .................................................................................................... 15
聲明一個接口 ......................................................................................................... 15
具體實現 ................................................................................................................. 16
使用block 指定迴調 ....................................................................................................... 18
Objective-C 如何管理內存 ............................................................................................. 19
自動引用計數 .................................................................................................................. 19
委托和協議...................................................................................................................... 20
should 消息 .............................................................................................................. 20
will 消息 .................................................................................................................. 21
did 消息 ................................................................................................................... 21
聲明並遵守協議....................................................
推薦序
在數字浪潮席捲全球之前,人們齣門時並不會隨身攜帶裝滿私人敏感信息的電子設備。而現在,幾乎每個人都會隨身攜帶一部手機,裏麵裝滿瞭各種私人信息。
智能手機給我們帶來的不隻是便利。它包含如此多的信息,對許多美國人來說,它就是“生活隱私”的載體。技術的進步讓信息無處不在,但是這並不會降低信息的重要性,我們需要為瞭保護信息不斷奮鬥,就像國父們一樣。
——首席大法官 John Roberts,齣自萊利訴加利福尼亞案(2014)
大多數人都承認,智能手機是 21世紀影響力昀大的發明。自 2007年第一代 iPhone問世以來,智能手機的用戶量暴增。到 2015年年末寫這本書時,全球已有近 34億手機用戶,大概占世界人口的一半(全世界有超過 73億人)。在全球範圍內,智能手機已經超過瞭電腦,成為訪問互聯網的主力。智能手機的普及對人類文明的影響完全能寫一本書。手機正在改變世界,無數人通過手機訪問互聯網上的教育和娛樂資源,到處都是金礦。在某些國傢,移動互聯網和社交網絡甚至能讓專製政權垮颱,能推動社會變革。
即使是美國昀高法院的七旬老人也已經意識到現代移動設備的威力,並做齣瞭新的判例。就像上麵萊利訴加利福尼亞案所提到的,智能手機不僅是一部電子設備——它是人民隱私的入口。
和所有的技術革命一樣,移動技術的普及也會産生一些負麵影響。我們有能力與世界各地的人建立聯係,但這並不能提升麵對麵的溝通能力,而且移動技術也無法消除世界上長久以來的貧富差距。與此同時,和企業雲計算、個人計算機及網絡革命一樣,智能手機也會引入新的安全漏洞,同時需要麵對現有的各種安全問題。
2007年發布的智能手機確實有一些重要的技術創新,但是真正吸引第三方開發者的是之後發布的 SDK和開放應用商店。由此也誕生瞭一批新時代的開發者,他們需要從過去的安全教訓中汲取經驗,適應未來全新的、不確定的環境。
我和 David Thiel已經相識 10年之久,他對新技術的熱情給我留下瞭深刻的印象。一旦齣現新技術, David就會馬上通過檢查、反編譯、破解來掌握它,並用新知識來增強其他技術的安全性。David很早就意識到 iPhone會齣現新的安全問題,因此從 iPhone操作係統 SDK發布的第一天起,他就已經開始研究應用開發者可能會犯的錯誤,以及如何越過平颱限製開發安全的應用。
本書是迄今為止對 iOS安全介紹昀為全麵的書籍。每一位心係用戶的開發者都應該遵循本書的指導來設計自身的産品、組織結構和技術決策。David把多年來踩過的坑和解決方案都寫瞭下來,希望你能認真學習。
智能手機潛力巨大,但要讓它真正發揮作用,我們必須盡昀大努力讓設備安全可信,保護用戶隱私不被泄露。
Alex Stamos Facebook首席安全官
譯者序
隨著 2007年第一代 iPhone的誕生,一個嶄新的移動互聯網時代拉開瞭序幕。截至 iPhone 7上市,蘋果的 Apple Store應用纍計下載 1400億次,巨大的商機令全球的開發者們紛至遝來。截至 2015年,僅中國的開發者人數就突破瞭 100萬,穩居世界第一。
隨著硬件機能的日新月異,iOS——這一具有劃時代意義的操作係統也迎來瞭它的 10歲生日。在每年的 WWDC上,蘋果總是不遺餘力地嚮全世界的開發者們展示最新的操作係統,介紹新的特性、新的 API,甚至是最佳編程實踐。
然而正所謂樹大招風,iPhone用戶也是黑産們眼中高質量的攻擊目標。雖然蘋果獨特的沙盒機製已經最大限度地保護瞭用戶的隱私安全,但目前針對 iOS的黑色産業鏈已涉及方方麵麵。 2015年 9月中國大陸地區齣現瞭 XcodeGhost病毒感染開發工具 Xcode的風波,給所有 iOS開發的從業者敲響瞭警鍾,就連微信這種國民級 App都未能幸免,這進一步說明瞭提升國內 iOS開發者安全意識的緊迫性。
每次 iOS版本更新時,市麵上都會齣版大量與 iOS開發相關的書籍,但絕大部分的書都是教你如何使用 iOS SDK提供的 API來開發一個 App。大多數情況下,能熟練運用這些 API就足夠瞭,但如果想立誌成為一名進階的 iOS開發者,使編寫齣來的代碼更加穩定和安全,就要對 iOS係統的底層細節和安全機製有所瞭解。可惜的是,市麵上關於 iOS係統安全機製和底層研究的書鳳毛麟角。
Swift.GG作為國內最走心的翻譯組之一,通過一次偶然的機會得知電子工業齣版社正在尋找《iOS應用安全權威指南》一書的譯者。雙方一拍即閤,決定為中國的開發者們帶來一本關於 iOS安全機製與底層細節的書籍,從而補上 iOS開發“安全”這最後一塊拼圖。
本書的作者 David Thiel,自 2008年初代 iPhone誕生後的第一年起,就開始對 iOS應用進行各種安全檢測和滲透實驗,時至今日,已經積攢瞭大量的經驗。無論你是剛入門的小菜鳥,還是已經摸爬滾打多年的老司機,本書都會循序漸進地帶你重溫 iOS最基礎的基本結構、安全背景;再更進一步地手把手教你搭建一個安全測試環境,進行代碼分析、逆嚮工程;之後本書將 iOS最薄弱、易受攻擊的軟肋一一列舉,並告訴開發者如何避開這些陷阱;最後一部分,將會為我們演示如何利用加密手段最大限度地保護用戶的數據和隱私。
本書在翻譯過程中,得到瞭阿裏巴巴安全大神蒸米同學的悉心指導;在本書的校對過程中,SwiftGG的創始人梁傑同學提齣瞭很高的要求,並投入瞭極大的精力,在此對二位提齣特彆感謝。參與翻譯的李俊陽、馬超同學,以及後期參與校對的 SwiftGG小夥伴們,雖然大傢身處異地,但從翻譯到校對的整個過程都配閤得行雲流水,體現齣瞭整個團隊的高效與專業,無愧於國內“走心翻譯組”這一稱號,再次感謝大傢。最後感謝電子工業齣版社給瞭我們這次機會,感謝編輯們和審稿專傢的細心檢查。譯者水平有限,bug在所難免,還請讀者批評指正。
程偉 2016年 12月 5日
推薦序
在數字浪潮席捲全球之前,人們齣門時並不會隨身攜帶裝滿私人敏感信息的電子設備。而現在,幾乎每個人都會隨身攜帶一部手機,裏麵裝滿瞭各種私人信息。< iOS 應用安全權威指南 下載 mobi epub pdf txt 電子書 格式
iOS 應用安全權威指南 下載 mobi pdf epub txt 電子書 格式 2024
iOS 應用安全權威指南 下載 mobi epub pdf 電子書很好,內容比較精煉。快遞很快!
評分翻譯的不錯 書的內容很好 收獲蠻多 更多的是留下很多思考的空間 讀完此書總想仔細思考體會品味
評分書一般,和想象中差那麼一點
評分本來期待很高,但是實際拿到手之後,發現裏麵講的內容既不係統係統,也不深入,也沒有案例,在外圍轉圈好久,就是不講正題。老外寫的書也有很水的,彆買瞭。
評分習慣好評
評分好!!!!
評分整體篇幅不長,內容有部分有用,隻能算是還可以吧,多看有益
評分書籍全新,由塑料薄膜包裝,很不錯哈,京東圖書活動太給力,沒有之一哈,棒棒的哈
評分等瞭好幾天纔等到他
iOS 應用安全權威指南 mobi epub pdf txt 電子書 格式下載 2024