RE iOS Apps

Bem -vindo aos Reverse Engineering iOS Applications do curso. Se você está aqui, significa que você compartilha meu interesse pela segurança e exploração do aplicativo no iOS. Ou talvez você tenha acabado de clicar no link errado ?

Todas as vulnerabilidades que mostrarei aqui são reais, elas foram encontradas em aplicativos de produção por pesquisadores de segurança, inclusive eu, como parte de programas de recompensa de insetos ou apenas pesquisas regulares. Uma das razões pelas quais você geralmente não vê redação com esses tipos de vulnerabilidades é porque a maioria das empresas proíbe a publicação desse conteúdo. Ajudamos essas empresas relatando essas questões e fomos recompensados ​​com recompensas por isso, mas ninguém além do (s) pesquisador (s) e a equipe de engenharia da empresa aprenderá com essas experiências. Isso é parte da razão pela qual decidi criar este curso, criando um aplicativo falso do iOS que contém todas as vulnerabilidades que encontrei em minha própria pesquisa ou nas poucas publicações de outros pesquisadores. Embora já existam alguns projetos [^1] pretendem ensinar a você problemas comuns nos aplicativos iOS, senti que precisávamos de um que mostrasse o tipo de vulnerabilidade que vimos em aplicativos baixados da App Store.

Este curso é dividido em 5 módulos que o levarão de zero a aplicativos de produção reverter na Apple App Store. Todo módulo destina-se a explicar uma única parte do processo em uma série de instruções passo a passo que devem guiá-lo até o sucesso.

Esta é a minha primeira tentativa de criar um curso on -line, então tenha paciência comigo se não for o melhor. Adoro feedback e, mesmo que você odeie absolutamente, me avise; Mas espero que você aproveite este passeio e aprenda algo novo. Sim, eu sou um N00B!

Se você encontrar erros de digitação, erros ou conceitos errados, seja gentil e me diga para que eu possa corrigi -los e todos nós aprendemos!

• Pré -requisitos
• Introdução
• Módulo 1 - Configuração do ambiente
• Módulo 2 - Descriptografando os aplicativos iOS
• Módulo 3 - Análise estática
• Módulo 4 - Análise dinâmica e hackers
• Módulo 5 - Patching binário
• Pensamentos finais
• Recursos

Graças à brilhante idéia de Natalia-OOSA, agora há uma versão .epub do curso que você pode baixar aqui. Como Natalia mencionou, isso é para facilitar o consumo do conteúdo. Mais uma vez obrigado por esta ideia fantástica, Natalia?

Copyright 2019 Ivan Rodriguez <ios [at] ivrodriguez.com>

A permissão é concedida, gratuita, a qualquer pessoa que obtenha uma cópia deste software e arquivos de documentação associados (o "software"), para lidar com o software sem restrição, inclusive sem limitação os direitos de usar, copiar, modificar, mesclar, publicar, distribuir, mobilizar o software e/ou vender cópias do software e permitir que as pessoas a quem

O aviso de direitos autorais acima e este aviso de permissão devem ser incluídos em todas as cópias ou em partes substanciais do software.

O software é fornecido "como está", sem garantia de qualquer tipo, expresso ou implícito, incluindo, entre outros, as garantias de comercialização, aptidão para uma finalidade específica e não innoculação. Em nenhum caso os autores ou detentores de direitos autorais serão responsáveis ​​por qualquer reclamação, danos ou outro passivo, seja em uma ação de contrato, delito ou não, decorrente de, fora ou em conexão com o software ou o uso ou outras negociações no software.

Eu realmente não aceito doações porque faço isso para compartilhar o que aprendo com a comunidade. Se você deseja me apoiar, basta re-compartilhar esse conteúdo e ajudar a alcançar mais pessoas. Eu também tenho uma loja on -line (nullswag.com) com cool de roupas, se você quiser obter algo lá.

Eu criei este curso por conta própria e não reflete as opiniões do meu empregador, todos os comentários e opiniões são meus.

O uso deste curso ou material é, em todos os momentos, "por sua conta e risco". Se você estiver insatisfeito com qualquer aspecto do curso, qualquer um desses termos e condições ou outras políticas, seu único remédio é interromper o uso do curso. Em nenhum caso, o curso, ou seus fornecedores, serei responsável por qualquer usuário ou terceiro, por quaisquer danos resultantes do uso ou incapacidade de usar este curso ou o material neste site, seja com base na garantia, contrato, delito ou qualquer outra teoria jurídica e se o site é ou não a possibilidade de possibilidades de danos. Use qualquer software e técnicas descritas neste curso, em todos os momentos, "por sua conta e risco", não sou responsável por quaisquer perdas, danos ou passivos decorrentes ou relacionados a este curso. Em nenhum caso serei responsável por quaisquer danos indiretos, especiais, punitivos, exemplares, incidentais ou conseqüentes. Essa limitação se aplicará independentemente de a outra parte ter sido ou não avisada da possibilidade de tais danos.

Não estou pessoalmente coletando nenhuma informação. Como todo esse curso está hospedado no Github, essa é a política de privacidade que você deseja ler.

[^1] Eu amo o trabalho @prateekg147 com Diva e Owasp fez com Igoat. São ótimas ferramentas para começar a aprender os internos de um aplicativo iOS e alguns dos desenvolvedores de bugs introduziram no passado, mas acho que muitos dos problemas mostrados que existem apenas teóricos ou impraticáveis ​​e podem ser comparados a um " auto-hack ". É como olhar para o código -fonte de uma página da web em um navegador da web, você consegue entender o código estático (html/javascript) do site, mas quaisquer modificações que você fizer não afetarão outros usuários. Eu queria mostrar vulnerabilidades que podem prejudicar a empresa que criou o aplicativo ou seus usuários finais.