2022-05-01 13:25:53 +00:00
# iOS Pentesting Checklist
2022-04-28 16:01:33 +00:00
2024-03-17 16:33:13 +00:00
< figure > < img src = "../.gitbook/assets/image (3) (1) (1) (1) (1) (1).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-08-31 22:35:39 +00:00
2023-01-01 16:19:07 +00:00
\
2024-02-10 13:11:20 +00:00
Koristite [**Trickest** ](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks ) da biste lako izgradili i **automatizovali radne tokove** pokretane najnaprednijim alatima zajednice.\
2024-03-14 23:38:08 +00:00
Pristupite danas:
2022-08-31 22:35:39 +00:00
2023-01-01 16:19:07 +00:00
{% embed url="https://trickest.com/?utm_campaign=hacktrics& utm_medium=banner& utm_source=hacktricks" %}
2022-08-31 22:35:39 +00:00
2022-04-28 16:01:33 +00:00
< details >
2024-02-10 13:11:20 +00:00
< summary > < strong > Naučite hakovanje AWS-a od nule do heroja sa< / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > < / a > < strong > !< / strong > < / summary >
2022-04-28 16:01:33 +00:00
2024-02-10 13:11:20 +00:00
Drugi načini podrške HackTricks-u:
2024-01-05 11:02:33 +00:00
2024-03-14 23:38:08 +00:00
* Ako želite da vidite svoju **kompaniju reklamiranu na HackTricks-u** ili da **preuzmete HackTricks u PDF formatu** Proverite [**PLANOVE ZA PRETPLATU** ](https://github.com/sponsors/carlospolop )!
2024-02-10 13:11:20 +00:00
* Nabavite [**zvanični PEASS & HackTricks swag** ](https://peass.creator-spring.com )
* Otkrijte [**The PEASS Family** ](https://opensea.io/collection/the-peass-family ), našu kolekciju ekskluzivnih [**NFT-ova** ](https://opensea.io/collection/the-peass-family )
2024-03-17 16:33:13 +00:00
* **Pridružite se** 💬 [**Discord grupi** ](https://discord.gg/hRep4RUj7f ) ili [**telegram grupi** ](https://t.me/peass ) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks\_live )**.**
2024-02-10 13:11:20 +00:00
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) i [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) github repozitorijume.
2022-04-28 16:01:33 +00:00
< / details >
2024-03-14 23:38:08 +00:00
**Try Hard Security Group**
2024-03-26 15:52:14 +00:00
< figure > < img src = "/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt = "" > < figcaption > < / figcaption > < / figure >
2024-03-14 23:38:08 +00:00
{% embed url="https://discord.gg/tryhardsecurity" %}
***
2024-02-10 13:11:20 +00:00
### Priprema
2021-05-21 17:13:19 +00:00
2024-03-14 23:38:08 +00:00
* [ ] Pročitajte [**iOS Osnove** ](ios-pentesting/ios-basics.md )
* [ ] Pripremite svoje okruženje čitajući [**iOS Testno Okruženje** ](ios-pentesting/ios-testing-environment.md )
2024-03-26 15:52:14 +00:00
* [ ] Pročitajte sve sekcije [**iOS Početna Analiza** ](ios-pentesting/#initial-analysis ) da biste naučili uobičajene radnje za testiranje sigurnosti iOS aplikacije
2021-05-21 17:13:19 +00:00
2024-03-14 23:38:08 +00:00
### Skladištenje Podataka
2021-05-21 17:13:19 +00:00
2024-03-14 23:38:08 +00:00
* [ ] [**Plist fajlovi** ](ios-pentesting/#plist ) mogu se koristiti za skladištenje osetljivih informacija.
2024-02-10 13:11:20 +00:00
* [ ] [**Core Data** ](ios-pentesting/#core-data ) (SQLite baza podataka) može skladištiti osetljive informacije.
* [ ] [**YapDatabases** ](ios-pentesting/#yapdatabase ) (SQLite baza podataka) može skladištiti osetljive informacije.
2024-03-14 23:38:08 +00:00
* [ ] [**Firebase** ](ios-pentesting/#firebase-real-time-databases ) konfiguracija.
2024-02-10 13:11:20 +00:00
* [ ] [**Realm baze podataka** ](ios-pentesting/#realm-databases ) mogu skladištiti osetljive informacije.
* [ ] [**Couchbase Lite baze podataka** ](ios-pentesting/#couchbase-lite-databases ) mogu skladištiti osetljive informacije.
2024-03-14 23:38:08 +00:00
* [ ] [**Binarni kolačići** ](ios-pentesting/#cookies ) mogu skladištiti osetljive informacije
* [ ] [**Podaci keša** ](ios-pentesting/#cache ) mogu skladištiti osetljive informacije
* [ ] [**Automatski snimci** ](ios-pentesting/#snapshots ) mogu sačuvati vizuelno osetljive informacije
2024-03-17 16:33:13 +00:00
* [ ] [**Keychain** ](ios-pentesting/#keychain ) se obično koristi za skladištenje osetljivih informacija koje mogu ostati prilikom preprodaje telefona.
2024-02-10 13:11:20 +00:00
* [ ] Ukratko, samo **proverite da li aplikacija čuva osetljive informacije u fajl sistemu**
2021-05-21 17:13:19 +00:00
2024-02-10 13:11:20 +00:00
### Tastature
2021-05-21 17:13:19 +00:00
2024-03-14 23:38:08 +00:00
* [ ] Da li aplikacija **dozvoljava korišćenje prilagođenih tastatura** ?
* [ ] Proverite da li su osetljive informacije sačuvane u [**fajlovima keša tastature** ](ios-pentesting/#custom-keyboards-keyboard-cache )
2021-05-21 17:13:19 +00:00
2024-02-10 13:11:20 +00:00
### **Logovi**
2021-05-21 17:13:19 +00:00
2024-03-26 15:52:14 +00:00
* [ ] Proverite da li se [**sačuvavaju osetljive informacije u logovima** ](ios-pentesting/#logs )
2021-05-21 17:13:19 +00:00
2024-03-26 15:52:14 +00:00
### Bekapi
2021-05-21 17:13:19 +00:00
2024-03-26 15:52:14 +00:00
* [ ] [**Bekapi** ](ios-pentesting/#backups ) se mogu koristiti za **pristup osetljivim informacijama** sačuvanim u fajl sistemu (proverite početnu tačku ovog ček-liste)
* [ ] Takođe, [**bekapi** ](ios-pentesting/#backups ) se mogu koristiti za **modifikaciju nekih konfiguracija aplikacije** , zatim **vratiti** bekapi na telefon, i pošto se **modifikovana konfiguracija** učita, neka (sigurnosna) **funkcionalnost** može biti **zaobiđena**
2021-05-21 17:13:19 +00:00
2024-03-14 23:38:08 +00:00
### **Memorija Aplikacije**
2021-05-21 17:13:19 +00:00
2024-03-14 23:38:08 +00:00
* [ ] Proverite da li postoje osetljive informacije unutar [**memorije aplikacije** ](ios-pentesting/#testing-memory-for-sensitive-data )
2021-05-21 17:13:19 +00:00
2024-03-14 23:38:08 +00:00
### **Slomljena Kriptografija**
2021-05-21 17:13:19 +00:00
2024-03-14 23:38:08 +00:00
* [ ] Proverite da li možete pronaći [**šifre korištene za kriptografiju** ](ios-pentesting/#broken-cryptography )
* [ ] Proverite korišćenje [**zastarelih/slabih algoritama** ](ios-pentesting/#broken-cryptography ) za slanje/skladištenje osetljivih podataka
2024-03-24 12:28:49 +00:00
* [ ] [**Hookujte i pratite kriptografske funkcije** ](ios-pentesting/#broken-cryptography )
2021-05-21 17:13:19 +00:00
2024-03-14 23:38:08 +00:00
### **Lokalna Autentikacija**
2021-05-21 17:13:19 +00:00
2024-03-14 23:38:08 +00:00
* [ ] Ako se koristi [**lokalna autentikacija** ](ios-pentesting/#local-authentication ) u aplikaciji, treba proveriti kako autentikacija funkcioniše.
2024-03-26 15:52:14 +00:00
* [ ] Ako se koristi [**Lokalni Autentikacioni Okvir** ](ios-pentesting/#local-authentication-framework ) može se lako zaobići
2024-03-24 12:28:49 +00:00
* [ ] Ako se koristi [**funkcija koja može dinamički biti zaobiđena** ](ios-pentesting/#local-authentication-using-keychain ) možete kreirati prilagođeni frida skriptu
2021-05-21 17:13:19 +00:00
2024-03-24 12:28:49 +00:00
### Izloženost Osetljive Funkcionalnosti Putem IPC
2021-05-21 17:13:19 +00:00
2024-03-26 15:52:14 +00:00
* [**Prilagođeni URI Handleri / Duboki Linkovi / Prilagođene Šeme** ](ios-pentesting/#custom-uri-handlers-deeplinks-custom-schemes )
2024-03-14 23:38:08 +00:00
* [ ] Proverite da li aplikacija **registruje neki protokol/šemu**
* [ ] Proverite da li aplikacija **registruje korišćenje** nekog protokola/šeme
2024-03-24 13:29:10 +00:00
* [ ] Proverite da li aplikacija **očekuje da primi bilo kakvu vrstu osetljivih informacija** putem prilagođene šeme koju može **interceptovati** druga aplikacija koja registruje istu šemu
2024-03-26 15:52:14 +00:00
* [ ] Proverite da li aplikacija **ne proverava i ne čisti** korisnički unos putem prilagođene šeme i neka se **iskoristi neka ranjivost**
2024-03-14 23:38:08 +00:00
* [ ] Proverite da li aplikacija **izlaže bilo koju osetljivu akciju** koja može biti pozvana sa bilo kog mesta putem prilagođene šeme
* [**Univerzalni Linkovi** ](ios-pentesting/#universal-links )
* [ ] Proverite da li aplikacija **registruje neki univerzalni protokol/šemu**
2024-02-10 13:11:20 +00:00
* [ ] Proverite fajl `apple-app-site-association`
2024-03-26 15:52:14 +00:00
* [ ] Proverite da li aplikacija **ne proverava i ne čisti** korisnički unos putem prilagođene šeme i neka se **iskoristi neka ranjivost**
2024-03-14 23:38:08 +00:00
* [ ] Proverite da li aplikacija **izlaže bilo koju osetljivu akciju** koja može biti pozvana sa bilo kog mesta putem prilagođene šeme
* [**UIActivity Deljenje** ](ios-pentesting/ios-uiactivity-sharing.md )
2024-03-26 15:52:14 +00:00
* [ ] Proverite da li aplikacija može primiti UIActivities i da li je moguće iskoristiti neku ranjivost sa posebno kreiranim aktivnostima
2024-03-14 23:38:08 +00:00
* [**UIPasteboard** ](ios-pentesting/ios-uipasteboard.md )
* [ ] Proverite da li aplikacija **kopira nešto u opšti pasteboard**
* [ ] Proverite da li aplikacija **koristi podatke iz opšteg pasteboard-a za bilo šta**
2024-03-24 12:28:49 +00:00
* [ ] Pratite pasteboard da biste videli da li je kopirana neka **osetljiva informacija**
2024-03-14 23:38:08 +00:00
* [**App Ekstenzije** ](ios-pentesting/ios-app-extensions.md )
* [ ] Da li aplikacija **koristi neku ekstenziju** ?
* [**WebViews** ](ios-pentesting/ios-webviews.md )
* [ ] Proverite koje vrste webview-ova se koriste
* [ ] Proverite status ** `javaScriptEnabled` **, ** `JavaScriptCanOpenWindowsAutomatically` **, ** `hasOnlySecureContent` **
* [ ] Proverite da li webview može **pristupiti lokalnim fajlovima** sa protokolom **file://** ** (**`allowFileAccessFromFileURLs`, `allowUniversalAccessFromFileURLs` )
2024-03-26 15:52:14 +00:00
* [ ] Proverite da li JavaScript može pristupiti **Nativnim** **metodama** (`JSContext`, `postMessage` )
2024-03-24 13:29:10 +00:00
### Komunikacija putem mreže
2024-03-14 23:38:08 +00:00
2024-03-24 13:29:10 +00:00
* [ ] Izvršite [**MitM napad na komunikaciju** ](ios-pentesting/#network-communication ) i potražite web ranjivosti.
2024-03-17 16:33:13 +00:00
* [ ] Proverite da li je proveren [**hostname sertifikata** ](ios-pentesting/#hostname-check )
2024-03-24 13:29:10 +00:00
* [ ] Proverite/Bypass [**Certificate Pinning** ](ios-pentesting/#certificate-pinning )
2021-05-21 17:13:19 +00:00
2024-02-10 13:11:20 +00:00
### **Razno**
2021-05-21 17:13:19 +00:00
2024-03-14 23:38:08 +00:00
* [ ] Proverite mehanizme za [**automatsko zakrpljivanje/ažuriranje** ](ios-pentesting/#hot-patching-enforced-updateing )
2024-02-10 13:11:20 +00:00
* [ ] Proverite [**zlonamerne biblioteke trećih strana** ](ios-pentesting/#third-parties )
2022-04-28 16:01:33 +00:00
2024-03-14 23:38:08 +00:00
**Try Hard Security Group**
2024-03-26 15:52:14 +00:00
< figure > < img src = "/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt = "" > < figcaption > < / figcaption > < / figure >
2024-03-14 23:38:08 +00:00
{% embed url="https://discord.gg/tryhardsecurity" %}
2022-04-28 16:01:33 +00:00
< details >
2024-03-17 16:33:13 +00:00
< summary > < strong > Naučite hakovanje AWS-a od početnika do stručnjaka sa< / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > < / a > < strong > !< / strong > < / summary >
2022-04-28 16:01:33 +00:00
2024-02-10 13:11:20 +00:00
Drugi načini podrške HackTricks-u:
2024-01-05 11:02:33 +00:00
2024-03-26 15:52:14 +00:00
* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili da **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJAVU** ](https://github.com/sponsors/carlospolop )!
2024-03-24 13:29:10 +00:00
* Nabavite [**zvanični PEASS & HackTricks swag** ](https://peass.creator-spring.com )
2024-02-10 13:11:20 +00:00
* Otkrijte [**The PEASS Family** ](https://opensea.io/collection/the-peass-family ), našu kolekciju ekskluzivnih [**NFT-ova** ](https://opensea.io/collection/the-peass-family )
2024-03-26 15:52:14 +00:00
* **Pridružite se** 💬 [**Discord grupi** ](https://discord.gg/hRep4RUj7f ) ili [**telegram grupi** ](https://t.me/peass ) ili nas **pratite** na **Twitter-u** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks\_live )**.**
2024-02-10 13:11:20 +00:00
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) i [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) github repozitorijume.
2022-04-28 16:01:33 +00:00
< / details >
2022-08-31 22:35:39 +00:00
2024-03-17 16:33:13 +00:00
< figure > < img src = "../.gitbook/assets/image (3) (1) (1) (1) (1) (1).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-08-31 22:35:39 +00:00
2023-01-01 16:19:07 +00:00
\
2024-03-26 15:52:14 +00:00
Koristite [**Trickest** ](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks ) da lako izgradite i **automatizujete radne tokove** pokretane najnaprednijim alatima zajednice na svetu.\
2024-02-10 13:11:20 +00:00
Dobijte pristup danas:
2022-08-31 22:35:39 +00:00
2023-01-01 16:19:07 +00:00
{% embed url="https://trickest.com/?utm_campaign=hacktrics& utm_medium=banner& utm_source=hacktricks" %}