(OWASP) 已制定了评估 iOS 应用程序时需要考虑的事项的指南 [6]。图 1 说明了平台本身的方面,图 2 说明了与网络攻击相关的方面。
图 1。评估 iOS 应用程序时的任务清单(Cornea & Haddix,2013)
图 2.评估 iOS 应用程序是否存在 玻利维亚 WhatsApp 号码列表 网络攻击时的任务清单(Cornea & Haddix,2013)
攻击向量
构成移动应用程序架构的各个部分使我们能够识别不同的攻击媒介:
在移动设备上运行的软件。
沟通渠道。
服务器端基础设施。
根据以上列表,可以分析潜在的漏洞。首先了解被测试的应用程序及其支持的基础架构,此阶段称为信息收集,它允许您了解应用程序所使用的技术,从而能够区分预期行为和异常行为。
第一步是像普通用户一样熟悉该应用程序、浏览它并了解应用程序的正常流程。然后,必须使用 Burp Suite 等工具拦截 HTTP 请求和响应,以分析、修改和重新发送数据包并观察获得的行为。为了扩展分析,将使用 tcdump 和 Wireshark 等嗅探工具。
必须配置移动设备以使用代理,并可以开始拦截流量以搜索包含用户名、密码、SQL 查询、地理位置数据、令牌等的数据包。在分析应用程序产生的流量时,重要的是要注意错误消息、SQL 注入、不正确的会话处理、弱加密、推送通知、身份验证、授权、数据存储、数据验证和拒绝服务。