hacktricks/mobile-pentesting/ios-pentesting/ios-serialisation-and-encoding.md

8.6 KiB
Raw Permalink Blame History

{% hint style="success" %} Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Υποστήριξη HackTricks
{% endhint %}

Κώδικας και περισσότερες πληροφορίες στο https://mas.owasp.org/MASTG/iOS/0x06h-Testing-Platform-Interaction/#object-persistence.

Σειριοποίηση Αντικειμένων στην Ανάπτυξη iOS

Στην iOS, η σειριοποίηση αντικειμένων περιλαμβάνει τη μετατροπή αντικειμένων σε μια μορφή που μπορεί να αποθηκευτεί ή να μεταδοθεί εύκολα, και στη συνέχεια την ανακατασκευή τους από αυτή τη μορφή όταν χρειάζεται. Δύο κύρια πρωτόκολλα, NSCoding και NSSecureCoding, διευκολύνουν αυτή τη διαδικασία για τις υποκλάσεις Objective-C ή NSObject, επιτρέποντας στα αντικείμενα να σειριοποιούνται σε NSData, μια μορφή που περιτυλίγει byte buffers.

NSCoding Υλοποίηση

Για να υλοποιηθεί το NSCoding, μια κλάση πρέπει να κληρονομήσει από το NSObject ή να είναι σημειωμένη ως @objc. Αυτό το πρωτόκολλο απαιτεί την υλοποίηση δύο μεθόδων για την κωδικοποίηση και την αποκωδικοποίηση των μεταβλητών στιγμής:

class CustomPoint: NSObject, NSCoding {
var x: Double = 0.0
var name: String = ""

func encode(with aCoder: NSCoder) {
aCoder.encode(x, forKey: "x")
aCoder.encode(name, forKey: "name")
}

required convenience init?(coder aDecoder: NSCoder) {
guard let name = aDecoder.decodeObject(forKey: "name") as? String else { return nil }
self.init(x: aDecoder.decodeDouble(forKey: "x"), name: name)
}
}

Ενίσχυση Ασφάλειας με το NSSecureCoding

Για να μετριαστούν οι ευπάθειες όπου οι επιτιθέμενοι εισάγουν δεδομένα σε ήδη κατασκευασμένα αντικείμενα, το NSSecureCoding προσφέρει ένα ενισχυμένο πρωτόκολλο. Οι κλάσεις που συμμορφώνονται με το NSSecureCoding πρέπει να επαληθεύουν τον τύπο των αντικειμένων κατά την αποκωδικοποίηση, διασφαλίζοντας ότι μόνο οι αναμενόμενοι τύποι αντικειμένων δημιουργούνται. Ωστόσο, είναι κρίσιμο να σημειωθεί ότι ενώ το NSSecureCoding ενισχύει την ασφάλεια τύπου, δεν κρυπτογραφεί τα δεδομένα ή δεν διασφαλίζει την ακεραιότητά τους, απαιτώντας πρόσθετα μέτρα για την προστασία ευαίσθητων πληροφοριών:

static var supportsSecureCoding: Bool {
return true
}

let obj = decoder.decodeObject(of: MyClass.self, forKey: "myKey")

Data Archiving with NSKeyedArchiver

NSKeyedArchiver και ο αντίστοιχός του, NSKeyedUnarchiver, επιτρέπουν την κωδικοποίηση αντικειμένων σε ένα αρχείο και την αργότερη ανάκτησή τους. Αυτός ο μηχανισμός είναι χρήσιμος για τη διατήρηση αντικειμένων:

NSKeyedArchiver.archiveRootObject(customPoint, toFile: "/path/to/archive")
let customPoint = NSKeyedUnarchiver.unarchiveObjectWithFile("/path/to/archive") as? CustomPoint

Using Codable for Simplified Serialization

Το πρωτόκολλο Codable της Swift συνδυάζει τα Decodable και Encodable, διευκολύνοντας την κωδικοποίηση και αποκωδικοποίηση αντικειμένων όπως String, Int, Double, κ.λπ., χωρίς επιπλέον προσπάθεια:

struct CustomPointStruct: Codable {
var x: Double
var name: String
}

Αυτή η προσέγγιση υποστηρίζει την απλή σειριοποίηση προς και από λίστες ιδιοτήτων και JSON, βελτιώνοντας τη διαχείριση δεδομένων σε εφαρμογές Swift.

Εναλλακτικές Κωδικοποίησης JSON και XML

Πέρα από την εγγενή υποστήριξη, πολλές βιβλιοθήκες τρίτων προσφέρουν δυνατότητες κωδικοποίησης/αποκωδικοποίησης JSON και XML, καθεμία με τα δικά της χαρακτηριστικά απόδοσης και ασφάλειας. Είναι επιτακτική ανάγκη να επιλέγονται προσεκτικά αυτές οι βιβλιοθήκες, ειδικά για να μετριαστούν οι ευπάθειες όπως οι επιθέσεις XXE (XML External Entities) ρυθμίζοντας τους αναλυτές ώστε να αποτρέπεται η επεξεργασία εξωτερικών οντοτήτων.

Σκέψεις Ασφαλείας

Κατά τη σειριοποίηση δεδομένων, ειδικά στο σύστημα αρχείων, είναι ουσιώδες να είστε προσεκτικοί σχετικά με την πιθανή συμπερίληψη ευαίσθητων πληροφοριών. Τα σειριοποιημένα δεδομένα, αν παρεμποδιστούν ή χειριστούν ακατάλληλα, μπορούν να εκθέσουν τις εφαρμογές σε κινδύνους όπως μη εξουσιοδοτημένες ενέργειες ή διαρροή δεδομένων. Συνιστάται η κρυπτογράφηση και η υπογραφή των σειριοποιημένων δεδομένων για την ενίσχυση της ασφάλειας.

Αναφορές

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}