hacktricks/mobile-pentesting/ios-pentesting-checklist.md

56 lines
4.4 KiB
Markdown
Raw Normal View History

2023-06-05 18:33:24 +00:00
# Lista de verificación de pentesting de iOS
![](<../.gitbook/assets/image (9) (1) (2).png>)
\
Utilice [**Trickest**](https://trickest.io/) para construir y automatizar fácilmente flujos de trabajo impulsados por las herramientas comunitarias más avanzadas del mundo.\
Obtenga acceso hoy mismo:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* ¿Trabaja en una **empresa de ciberseguridad**? ¿Quiere ver su **empresa anunciada en HackTricks**? ¿O quiere tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulte los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubra [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección de exclusivos [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenga el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únase al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígame en** **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparta sus trucos de hacking enviando PR al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
### Preparación
* [ ] Lea [**Conceptos básicos de iOS**](ios-pentesting/ios-basics.md)
* [ ] Prepare su entorno leyendo [**Entorno de prueba de iOS**](ios-pentesting/ios-testing-environment.md)
* [ ] Lea todas las secciones de [**Análisis inicial de iOS**](ios-pentesting/#initial-analysis) para aprender las acciones comunes para pentestear una aplicación de iOS.
### Almacenamiento de datos
* [ ] Los [**archivos Plist**](ios-pentesting/#plist) se pueden utilizar para almacenar información sensible.
* [ ] [**Core Data**](ios-pentesting/#core-data) (base de datos SQLite) puede almacenar información sensible.
* [ ] [**YapDatabases**](ios-pentesting/#yapdatabase) (base de datos SQLite) puede almacenar información sensible.
* [ ] Configuración incorrecta de [**Firebase**](ios-pentesting/#firebase-real-time-databases).
* [ ] [**Las bases de datos de Realm**](ios-pentesting/#realm-databases) pueden almacenar información sensible.
* [ ] [**Las bases de datos de Couchbase Lite**](ios-pentesting/#couchbase-lite-databases) pueden almacenar información sensible.
* [ ] Las [**cookies binarias**](ios-pentesting/#cookies) pueden almacenar información sensible.
* [ ] Los [**datos de caché**](ios-pentesting/#cache) pueden almacenar información sensible.
* [ ] Las [**capturas de pantalla automáticas**](ios-pentesting/#snapshots) pueden guardar información visual sensible.
* [ ] El [**llavero**](ios-pentesting/#keychain) se utiliza generalmente para almacenar información sensible que puede quedar cuando se vende el teléfono.
* [ ] En resumen, solo **verifique si la aplicación guarda información sensible en el sistema de archivos**.
### Teclados
* [ ] ¿La aplicación [**permite el uso de teclados personalizados**](ios-pentesting/#custom-keyboards-keyboard-cache)?
* [ ] Verifique si se guarda información sensible en los [**archivos de caché de teclados**](ios-pentesting/#custom-keyboards-keyboard-cache).
### **Registros**
* [ ] Verifique si se está [**registrando información sensible**](ios-pentesting/#logs).
### Copias de seguridad
* [ ] Las [**copias de seguridad**](ios-pentesting/#backups) se pueden utilizar para **acceder a la información sensible** guardada en el sistema de archivos (verifique el punto inicial de esta lista de verificación).
* [ ] Además, las [**copias de seguridad**](ios-pentesting/#backups) se pueden utilizar para **modificar algunas configuraciones de la aplicación**, luego