8.6 KiB
{% hint style="success" %}
Μάθετε & εξασκηθείτε στο AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Υποστήριξη HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.
Κώδικας και περισσότερες πληροφορίες στο https://mas.owasp.org/MASTG/iOS/0x06h-Testing-Platform-Interaction/#object-persistence.
Σειριοποίηση Αντικειμένων στην Ανάπτυξη iOS
Στην iOS, η σειριοποίηση αντικειμένων περιλαμβάνει τη μετατροπή αντικειμένων σε μια μορφή που μπορεί να αποθηκευτεί ή να μεταδοθεί εύκολα, και στη συνέχεια την ανακατασκευή τους από αυτή τη μορφή όταν χρειάζεται. Δύο κύρια πρωτόκολλα, NSCoding και NSSecureCoding, διευκολύνουν αυτή τη διαδικασία για τις υποκλάσεις Objective-C ή NSObject, επιτρέποντας στα αντικείμενα να σειριοποιούνται σε NSData, μια μορφή που περιτυλίγει byte buffers.
NSCoding Υλοποίηση
Για να υλοποιηθεί το NSCoding, μια κλάση πρέπει να κληρονομήσει από το NSObject ή να είναι σημειωμένη ως @objc. Αυτό το πρωτόκολλο απαιτεί την υλοποίηση δύο μεθόδων για την κωδικοποίηση και την αποκωδικοποίηση των μεταβλητών στιγμής:
class CustomPoint: NSObject, NSCoding {
var x: Double = 0.0
var name: String = ""
func encode(with aCoder: NSCoder) {
aCoder.encode(x, forKey: "x")
aCoder.encode(name, forKey: "name")
}
required convenience init?(coder aDecoder: NSCoder) {
guard let name = aDecoder.decodeObject(forKey: "name") as? String else { return nil }
self.init(x: aDecoder.decodeDouble(forKey: "x"), name: name)
}
}
Ενίσχυση Ασφάλειας με το NSSecureCoding
Για να μετριαστούν οι ευπάθειες όπου οι επιτιθέμενοι εισάγουν δεδομένα σε ήδη κατασκευασμένα αντικείμενα, το NSSecureCoding προσφέρει ένα ενισχυμένο πρωτόκολλο. Οι κλάσεις που συμμορφώνονται με το NSSecureCoding πρέπει να επαληθεύουν τον τύπο των αντικειμένων κατά την αποκωδικοποίηση, διασφαλίζοντας ότι μόνο οι αναμενόμενοι τύποι αντικειμένων δημιουργούνται. Ωστόσο, είναι κρίσιμο να σημειωθεί ότι ενώ το NSSecureCoding ενισχύει την ασφάλεια τύπου, δεν κρυπτογραφεί τα δεδομένα ή δεν διασφαλίζει την ακεραιότητά τους, απαιτώντας πρόσθετα μέτρα για την προστασία ευαίσθητων πληροφοριών:
static var supportsSecureCoding: Bool {
return true
}
let obj = decoder.decodeObject(of: MyClass.self, forKey: "myKey")
Data Archiving with NSKeyedArchiver
NSKeyedArchiver και ο αντίστοιχός του, NSKeyedUnarchiver, επιτρέπουν την κωδικοποίηση αντικειμένων σε ένα αρχείο και την αργότερη ανάκτησή τους. Αυτός ο μηχανισμός είναι χρήσιμος για τη διατήρηση αντικειμένων:
NSKeyedArchiver.archiveRootObject(customPoint, toFile: "/path/to/archive")
let customPoint = NSKeyedUnarchiver.unarchiveObjectWithFile("/path/to/archive") as? CustomPoint
Using Codable for Simplified Serialization
Το πρωτόκολλο Codable της Swift συνδυάζει τα Decodable και Encodable, διευκολύνοντας την κωδικοποίηση και αποκωδικοποίηση αντικειμένων όπως String, Int, Double, κ.λπ., χωρίς επιπλέον προσπάθεια:
struct CustomPointStruct: Codable {
var x: Double
var name: String
}
Αυτή η προσέγγιση υποστηρίζει την απλή σειριοποίηση προς και από λίστες ιδιοτήτων και JSON, βελτιώνοντας τη διαχείριση δεδομένων σε εφαρμογές Swift.
Εναλλακτικές Κωδικοποίησης JSON και XML
Πέρα από την εγγενή υποστήριξη, πολλές βιβλιοθήκες τρίτων προσφέρουν δυνατότητες κωδικοποίησης/αποκωδικοποίησης JSON και XML, καθεμία με τα δικά της χαρακτηριστικά απόδοσης και ασφάλειας. Είναι επιτακτική ανάγκη να επιλέγονται προσεκτικά αυτές οι βιβλιοθήκες, ειδικά για να μετριαστούν οι ευπάθειες όπως οι επιθέσεις XXE (XML External Entities) ρυθμίζοντας τους αναλυτές ώστε να αποτρέπεται η επεξεργασία εξωτερικών οντοτήτων.
Σκέψεις Ασφαλείας
Κατά τη σειριοποίηση δεδομένων, ειδικά στο σύστημα αρχείων, είναι ουσιώδες να είστε προσεκτικοί σχετικά με την πιθανή συμπερίληψη ευαίσθητων πληροφοριών. Τα σειριοποιημένα δεδομένα, αν παρεμποδιστούν ή χειριστούν ακατάλληλα, μπορούν να εκθέσουν τις εφαρμογές σε κινδύνους όπως μη εξουσιοδοτημένες ενέργειες ή διαρροή δεδομένων. Συνιστάται η κρυπτογράφηση και η υπογραφή των σειριοποιημένων δεδομένων για την ενίσχυση της ασφάλειας.
Αναφορές
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.