iOS应用由于直接运行在用户的手机上,而不是运行在后台服务器上,所以更容易被攻击。
任何系统都会有木马病毒的产生,不存在绝对的安全,iOS应用由于直接运行在用户的手机上,而不是运行在后台服务器上,所以更容易被攻击。恶意的一些攻击手段包括劫持网络通讯、窃取本地数据以及篡改程序行为。很多人把安全问题完全交给 iOS 系统自带的沙盒(Sandbox),但是仅仅靠沙盒也是不够的。因为如果不做其它的防护,一旦沙盒被攻破,那么程序的安全性就完全无法保障了。给大家介绍几门精选课程,希望大家的技能分数有提升 ~
学习iOS移动平台的安全架构,分析iOS消息机制中的实际漏洞样例,学习iOS系统中内核态漏洞分析知识与思维
64位iOS内核漏洞高级利用技术—手把手教你利用盘古9内核漏洞 <<<<< 点击查看
Pangu9是目前唯一针对iOS9的越狱工具,本视频将基于pangu9利用的内核漏洞,手把手传授64位iOS内核静态分析与IDA脚本开发、iOS内核漏洞挖掘与分析,iOS内核高级漏洞利用等技术。结合pangu9种真实内核漏洞案例,详细分析释放后使用(UAF)和竞争条件(Race Condition)等漏洞类型的利用开发技巧。
本课程主要对Mac OS X上的一个本地提权漏洞利用进行实例讲解。 首先将简单介绍IOKit以及IORegistry。然后,对提权攻击使用的内核漏洞(CVE-2015-7084)进行分析,说明攻击方法以及利用思路。接着,将会介绍在利用代码编写过程中涉及的漏洞利用技术,包括堆喷射、ROP、提权Gadget序列等等。最后将展示在OS X 10.10上提权成功的Demo视频。
本课程主要介绍iOS平台App的常用破解技术。课程首先介绍了常用的破解工具,对逆向与破解中较为实用的工具进行归结整理。之后对实战中常用的破解方法进行分类讲解。最后选取网络验证,本地验证,机器码验证三类最具代表性的破解实战讲解和操作。提纲挈领地介绍了iOS应用破解技术。通过对本课程的学习,学者能够了解在iOS应用破解中常用的工具;熟悉iOS应用破解的步骤与方法;掌握iOS应用破解的多种实战技巧。
iOS应用的安全审计一直是每款移动产品上架苹果商店时面对的一座大山,每次提审都像是一次漫长而又悲壮的旅行,经常被苹果拒之门外,无比煎熬。那么问题来了,我们有没有什么办法准确把握苹果审核准则,从而提升审核的通过率呢?
在课程中,讲师主要介绍在对iOS应用进行安全审计的过程中可能发现的安全问题。问题类型可归纳为以下五类:敏感信息、数据加密、网络交互、第三方库以及Bug类。课程第一部分将会介绍这五类问题可能导致的安全隐患并对其审计方法和解决方案进行简单说明。开发人员在进行iOS应用开发的过程中,需要对这些安全点加以重视。课程第二部分介绍了用于辅助审计“敏感信息”的工具,通过HOOK关键函数,记录iOS应用在运行过程中产生的数据。通过对这部分数据的分析,能够有效地发现“敏感信息”相关的安全问题。
通过对本课程的学习,学者能够了解iOS应用中常见的安全问题;熟悉对应安全问题的审计方式与解决方案。
通过对本课程的学习,学者能够了解iOS与OS X中二进制文件Mach-O文件的加载过程;掌握iOS中的代码注入与调试方式;学习iOS中反调试、反注入、反-反调试、反-反注入技巧。