hacktricks/mobile-pentesting/ios-pentesting-checklist.md

Lista de Verificação de Pentesting iOS

Use Trickest para construir e automatizar fluxos de trabalho com as ferramentas da comunidade mais avançadas do mundo.
Acesse hoje:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os PLANOS DE ASSINATURA!
• Descubra The PEASS Family, nossa coleção exclusiva de NFTs
• Obtenha o swag oficial do PEASS & HackTricks
• Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-me no Twitter 🐦@carlospolopm.
• Compartilhe suas técnicas de hacking enviando PRs para o repositório hacktricks e repositório hacktricks-cloud.

Preparação

• Leia Noções básicas do iOS
• Prepare seu ambiente lendo Ambiente de Teste do iOS
• Leia todas as seções de Análise Inicial do iOS para aprender ações comuns para pentestear um aplicativo iOS

Armazenamento de Dados

• Arquivos Plist podem ser usados para armazenar informações sensíveis.
• Core Data (banco de dados SQLite) pode armazenar informações sensíveis.
• Bancos de dados Yap (banco de dados SQLite) podem armazenar informações sensíveis.
• Configuração incorreta do Firebase.
• Bancos de dados Realm podem armazenar informações sensíveis.
• Bancos de dados Couchbase Lite podem armazenar informações sensíveis.
• Cookies binários podem armazenar informações sensíveis.
• Dados em cache podem armazenar informações sensíveis.
• Capturas de tela automáticas podem salvar informações visuais sensíveis.
• Keychain é geralmente usado para armazenar informações sensíveis que podem ser deixadas ao revender o telefone.
• Em resumo, apenas verifique se há informações sensíveis salvas pelo aplicativo no sistema de arquivos

Teclados

• O aplicativo permite o uso de teclados personalizados?
• Verifique se informações sensíveis são salvas nos arquivos de cache do teclado

Logs

• Verifique se informações sensíveis estão sendo registradas

Backups

• Backups podem ser usados para acessar informações sensíveis salvas no sistema de arquivos (verifique o ponto inicial desta lista de verificação)
• Além disso, backups podem ser usados para **mod