RE iOS Apps
1.0.0
Willkommen zu meinem Kurs Reverse Engineering iOS Applications . Wenn Sie hier sind, bedeutet dies, dass Sie mein Interesse für die Sicherheit und Ausbeutung von Anwendungen auf iOS teilen. Oder haben Sie gerade auf den falschen Link geklickt ?
Alle Schwachstellen, die ich Ihnen hier zeigen werde, sind real. Sie wurden in Produktionsanwendungen von Sicherheitsforschern gefunden, einschließlich mir, als Teil von Bug Bounty -Programmen oder nur von regelmäßiger Forschung. Einer der Gründe, warum Sie häufig keine Aufzeichnungen mit solchen Schwachstellen sehen, ist, dass die meisten Unternehmen die Veröffentlichung solcher Inhalte verbieten. Wir haben diesen Unternehmen geholfen, indem wir ihnen diese Themen gemeldet haben, und wir wurden dafür mit Kopfgeldern belohnt, aber niemand anderes als die Forscher (en) und das Engineering -Team des Unternehmens werden aus diesen Erfahrungen lernen. Dies ist ein Grund, warum ich mich entschlossen habe, diesen Kurs zu erstellen, indem ich eine gefälschte iOS -Anwendung erstellt habe, die alle Schwachstellen enthält, die ich in meiner eigenen Forschung oder in den wenigen Veröffentlichungen anderer Forscher begegnet bin. Obwohl es bereits einige Projekte gibt [^1], um Ihnen gemeinsame Themen in iOS -Anwendungen beizubringen, hatte ich das Gefühl, dass wir eine benötigte, die die Art von Schwachstellen zeigte, die wir bei Anwendungen im App Store gesehen haben.
Dieser Kurs ist in 5 Modulen unterteilt, die Sie von Null auf die Umkehrung der Produktionsanwendungen im Apple App Store führen. Jedes Modul soll einen einzelnen Teil des Prozesses in einer Reihe von Schritt-für-Schritt-Anweisungen erklären, die Sie bis zum Erfolg führen sollten.
Dies ist mein erster Versuch, einen Online -Kurs zu erstellen, also trage mich mit mir, wenn er nicht das Beste ist. Ich liebe Feedback und selbst wenn du es absolut hasst, lass es mich wissen; Aber hoffentlich genießen Sie diese Fahrt und Sie können etwas Neues lernen. Ja, ich bin ein N00B!
Wenn Sie Tippfehler, Fehler oder einfache falsche Konzepte finden, seien Sie bitte nett und sagen Sie es mir, damit ich sie reparieren kann und wir alle lernen!
Dank Natalia-Osas brillanter Idee gibt es jetzt eine .epub Version des Kurses, die Sie von hier herunterladen können. Wie Natalia erwähnte, ist dies für den einfacheren Verbrauch des Inhalts. Nochmals vielen Dank für diese fantastische Idee, Natalia?
Copyright 2019 Ivan Rodriguez <ios [at] ivrodriguez.com>
Die Erlaubnis wird hiermit einer Person, die eine Kopie dieser Software und zugehörigen Dokumentationsdateien (der "Software") erhält, kostenlos erteilt, um die Software ohne Einschränkung zu behandeln, einschließlich ohne Einschränkung der Rechte, zu verwenden, zu kopieren, zu modifizieren, zusammenzufassen, zu veröffentlichen, zu veröffentlichen, zu verteilen, zu verteilt, und/oder Kopien der Software zu ermöglichen, um Personen zu beanstanden, an denen die Software zugänglich ist.
Die oben genannte Copyright -Mitteilung und diese Erlaubnisbekanntmachung müssen in alle Kopien oder wesentlichen Teile der Software enthalten sein.
Die Software wird "wie es ist" ohne Garantie jeglicher Art, ausdrücklich oder stillschweigend bereitgestellt, einschließlich, aber nicht beschränkt auf die Gewährleistung der Handelsfähigkeit, die Eignung für einen bestimmten Zweck und die Nichtverletzung. In keinem Fall sind die Autoren oder Urheberrechtsinhaber für Ansprüche, Schäden oder andere Haftungen haftbar, sei es in einer Vertragsklage, unerbittlich oder auf andere Weise, die sich aus oder im Zusammenhang mit der Software oder anderen Geschäften in der Software ergeben.
Ich akzeptiere keine Spenden, weil ich dies tue, um das zu teilen, was ich mit der Community lerne. Wenn Sie mich unterstützen möchten, treten Sie diesen Inhalt wieder neu und helfen Sie mehr Menschen. Ich habe auch einen Online -Shop (nullswag.com) mit coolen Kleidungssachen, wenn Sie dort etwas bekommen möchten.
Ich habe diesen Kurs selbst erstellt und er spiegelt nicht die Ansichten meines Arbeitgebers wider, alle Kommentare und Meinungen sind meine eigenen.
Die Verwendung dieses Kurses oder Materials ist zu jeder Zeit "auf eigenes Risiko". Wenn Sie mit irgendeinem Aspekt des Kurses, einer dieser Bedingungen oder anderer Richtlinien unzufrieden sind, besteht Ihr einziges Mittel darin, die Verwendung des Kurses einzustellen. In keinem Fall muss ich, der Kurs oder seine Lieferanten einem Benutzer oder Dritten haftbar sein, wenn es sich um Schäden handelt, die sich aus der Verwendung oder Unfähigkeit, diesen Kurs oder das Material auf dieser Website zu verwenden, auf der Grundlage von Garantie, Vertrag, unerlaubter Handlung oder einer anderen Rechtstheorie und der Frage, ob die Website von der Möglichkeit einer solchen Schäden beraten ist oder nicht, entspricht. Verwenden Sie alle Software und Techniken, die in diesem Kurs zu jeder Zeit "auf eigenes Risiko" beschrieben wurden. Ich bin nicht verantwortlich für Verluste, Schäden oder Verbindlichkeiten, die sich aus diesem Kurs ergeben oder mit diesem Kurs verbunden sind. In keinem Fall haftet ich für indirekte, spezielle, strafrechtliche, vorbildliche, zufällige oder konsequente Schäden. Diese Einschränkung gilt unabhängig davon, ob die andere Partei über die Möglichkeit eines solchen Schadens informiert wurde oder nicht.
Ich persönlich sammle keine Informationen. Da dieser gesamte Kurs auf GitHub gehostet wird, ist dies die Datenschutzrichtlinie, die Sie lesen möchten.
[^1] Ich liebe die Arbeit @prateekg147 mit Diva und Owasp mit Igoat. Sie sind großartige Werkzeuge, um die Interna einer iOS-Anwendung zu lernen, und einige der Bugs-Entwickler haben in der Vergangenheit eingeführt, aber ich denke, viele der Probleme haben nur theoretisch oder unpraktisch und können mit einem " Selbsthack " verglichen werden. Es ist so, als würde man den Quellcode einer Webseite in einem Webbrowser betrachten. Ich wollte Schwachstellen zeigen, die dem Unternehmen, das die Anwendung oder ihre Endbenutzer erstellt haben, schädigen können.
