访问官网
Github
论文iOS 应用程序逆向工程
欢迎来到我的"iOS 应用程序逆向工程"课程。如果你来到这里,说明你和我一样对 iOS 上的应用程序安全和漏洞利用感兴趣。或者你可能只是不小心点错了链接 😂
我在这里向你展示的所有漏洞都是真实存在的,它们是由包括我在内的安全研究人员在生产应用程序中发现的,作为漏洞赏金计划的一部分或只是常规研究。你不经常看到这类漏洞的详细报告,原因之一是大多数公司禁止发布此类内容。我们通过报告这些问题来帮助这些公司,并因此获得了赏金奖励,但除了研究人员和公司的工程团队之外,没有人能从这些经验中学习。这也是我决定创建这门课程的部分原因,通过创建一个包含我在自己的研究中或在其他研究人员为数不多的公开报告中遇到的所有漏洞的虚拟 iOS 应用程序。尽管已经有一些项目[^1]旨在教你 iOS 应用程序中的常见问题,但我觉得我们需要一个能展示我们在 App Store 下载的应用程序中看到的那种漏洞的项目。
本课程分为 5 个模块,将带你从零开始到逆向分析 Apple App Store 上的生产应用程序。每个模块旨在通过一系列分步说明来解释过程中的单个部分,这些说明应该能指导你一路成功。
这是我第一次尝试创建在线课程,如果它不是最好的,请多包涵。我喜欢反馈,即使你绝对讨厌它,也请告诉我;但希望你能享受这个过程,并学到一些新东西。是的,我是个新手!
如果你发现拼写错误、mistakes 或明显错误的概念,请善意地告诉我,以便我可以修正它们,我们都可以从中学习!
版本:1.1
模块
EPUB 下载
感谢 natalia-osa 的绝妙想法,现在有了课程的 .epub 版本,你可以从这里下载。正如 Natalia 所说,这是为了更方便地消化内容。再次感谢 Natalia 提出这个fantastic的想法 🙏🏼。
许可证
版权所有 2019 Ivan Rodriguez <ios [at] ivrodriguez.com>
特此免费授予任何获得本软件及相关文档文件("软件")副本的人不受限制地处理本软件的权利,包括但不限于使用、复制、修改、合并、出版、分发、再许可和/或出售软件副本的权利,并允许向其提供软件的人这样做,但须符合以下条件:
上述版权声明和本许可声明应包含在软件的所有副本或主要部分中。
本软件按"原样"提供,不提供任何形式的明示或暗示的保证,包括但不限于对适销性、特定用途适用性和非侵权性的保证。在任何情况下,作者或版权持有人均不对任何索赔、损害或其他责任负责,无论是在合同诉讼、侵权行为或其他方面,由软件或软件的使用或其他交易引起或与之相关。
捐赠
我实际上不接受捐赠,因为我这样做是为了与社区分享我所学到的东西。如果你想支持我,只需重新分享这些内容并帮助更多人接触到它。我还有一个在线商店(nullswag.com),里面有一些很酷的服装小物件,如果你想在那里买点东西。
免责声明
我自己创建了这门课程,它不反映我雇主的观点,所有评论和意见都是我自己的。
损害免责声明
使用本课程或材料始终"风险自负"。如果你对课程的任何方面、任何这些条款和条件或任何其他政策不满意,你唯一的补救方法是停止使用本课程。在任何情况下,我、本课程或其供应商均不对任何用户或第三方因使用或无法使用本课程或本网站上的材料而造成的任何损害负责,无论是基于保证、合同、侵权还是任何其他法律理论,也无论网站是否被告知此类损害的可能性。使用本课程中描述的任何软件和技术始终"风险自负",我不对因本课程引起或与之相关的任何损失、损害或责任负责。在任何情况下,我都不对任何间接、特殊、惩罚性、惩戒性、附带或后果性损害负责。无论另一方是否被告知可能发生此类损害,此限制都将适用。
隐私
我个人不收集任何信息。由于整个课程都托管在 Github 上,你想要阅读的是这个隐私政策。
[^1] 我喜欢 @prateekg147 在 DIVA 和 OWASP 在 iGoat 上所做的工作。它们是开始学习 iOS 应用程序内部结构和开发人员过去引入的一些错误的很好工具,但我认为那里展示的许多问题只是理论上的或不切实际的,可以比作"自我黑客"。这就像在网络浏览器中查看网页的源代码,你可以理解网站的静态代码(HTML/Javascript),但你所做的任何修改都不会影响其他用户。我想展示可能harm创建应用程序的公司或其最终用户的漏洞。
