mirror of
https://github.com/carlospolop/hacktricks
synced 2025-01-30 13:53:32 +00:00
9.7 KiB
9.7 KiB
Orodha ya Ukaguzi wa iOS Pentesting
Tumia Trickest kujenga na kutumia mifumo ya kazi kwa kutumia zana za jamii za juu zaidi duniani.
Pata Ufikiaji Leo:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!
Njia nyingine za kusaidia HackTricks:
- Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
- Pata bidhaa rasmi za PEASS & HackTricks
- Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs za kipekee
- Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @carlospolopm.
- Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.
Kikundi cha Usalama cha Kujaribu Kwa Bidii
{% embed url="https://discord.gg/tryhardsecurity" %}
Maandalizi
- Soma Misingi ya iOS
- Andaa mazingira yako kwa kusoma Mazingira ya Majaribio ya iOS
- Soma sehemu zote za Uchambuzi wa Awali wa iOS kujifunza hatua za kawaida za kudukua programu ya iOS
Uhifadhi wa Data
- Faili za Plist zinaweza kutumika kuhifadhi habari nyeti.
- Core Data (database ya SQLite) inaweza kuhifadhi habari nyeti.
- YapDatabases (database ya SQLite) inaweza kuhifadhi habari nyeti.
- Firebase usio sahihi.
- Databases za Realm zinaweza kuhifadhi habari nyeti.
- Databases za Couchbase Lite zinaweza kuhifadhi habari nyeti.
- Vidakuzi vya Binary vinaweza kuhifadhi habari nyeti
- Data ya Cache inaweza kuhifadhi habari nyeti
- Vipande vya moja kwa moja vinaweza kuokoa habari nyeti ya kuona
- Keychain kawaida hutumika kuhifadhi habari nyeti ambayo inaweza kuachwa wakati wa kuuza simu.
- Kwa muhtasari, tu angalia habari nyeti iliyohifadhiwa na programu kwenye mfumo wa faili
Vibodi
- Je! Programu inaruhusu kutumia vibodi vya desturi?
- Angalia ikiwa habari nyeti imesave katika faili za vibodi
Kumbukumbu
- Angalia ikiwa habari nyeti inalogwa
Nakala za Akiba
- Nakala za Akiba zinaweza kutumika kufikia habari nyeti iliyohifadhiwa kwenye mfumo wa faili (angalia hatua ya kwanza ya orodha hii)
- Pia, nakala za akiba zinaweza kutumika kubadilisha baadhi ya mipangilio ya programu, kisha kurejesha nakala ya akiba kwenye simu, na kwa kuwa mipangilio iliyobadilishwa ina pakia baadhi ya (usalama) kazi inaweza kipuuzwa
Kumbukumbu za Programu
- Angalia habari nyeti ndani ya kumbukumbu za programu
Kudukua Kwa Cryptography
- Angalia ikiwa unaweza kupata nywila zilizotumiwa kwa cryptography
- Angalia matumizi ya algorithms zilizopitwa/zwafuatwa kutuma/kuhifadhi data nyeti
- Kufunga na kufuatilia kazi za cryptography
Uthibitishaji wa Kienyeji
- Ikiwa uthibitishaji wa kienyeji unatumika katika programu, unapaswa kuangalia jinsi uthibitishaji unavyofanya kazi.
- Ikiwa inatumia Itifaki ya Uthibitishaji wa Kienyeji inaweza kudukuliwa kwa urahisi
- Ikiwa inatumia kazi ambayo inaweza kudukuliwa kwa kudumu unaweza kuunda skripti ya frida ya desturi
Kufichua Kazi Nyeti Kupitia IPC
- Wakala wa URI wa Desturi / Viungo vya Kina / Mipango ya Desturi
- Angalia ikiwa programu ina usajili wa itifaki/viungo vya kina
- Angalia ikiwa programu ina usajili wa kutumia itifaki/viungo vya kina
- Angalia ikiwa programu inatarajia kupokea aina yoyote ya habari nyeti kutoka kwa mpango wa desturi ambayo inaweza kutekwa na programu nyingine inayosajili itifaki sawa
- Angalia ikiwa programu haichunguzi na kusafisha matokeo ya mtumiaji kupitia mpango wa desturi na baadhi ya udhaifu unaweza kutumiwa
- Angalia ikiwa programu inafichua hatua yoyote nyeti inayoweza kuitwa kutoka mahali popote kupitia mpango wa desturi
- Viungo vya Kila Mahali
- Angalia ikiwa programu ina usajili wa itifaki/viungo vya kila mahali
- Angalia faili ya
apple-app-site-association - Angalia ikiwa programu haichunguzi na kusafisha matokeo ya mtumiaji kupitia mpango wa desturi na baadhi ya udhaifu unaweza kutumiwa
- Angalia ikiwa programu inafichua hatua yoyote nyeti inayoweza kuitwa kutoka mahali popote kupitia mpango wa desturi
- Kushiriki Kupitia UIActivity
- Angalia ikiwa programu inaweza kupokea UIActivities na ikiwa ni rahisi kutumia udhaifu wowote na shughuli iliyoundwa kwa umakini
- UIPasteboard
- Angalia ikiwa programu ina nakala chochote kwenye ubao wa kawaida
- Angalia ikiwa programu ina tumia data kutoka kwa ubao wa kawaida kwa chochote
- Fuatilia ubao wa kubandika kuona ikiwa kuna data nyeti inayobandikwa
- Vipanuzi vya Programu
- Je! Programu inatumia kipanuzi chochote?
- WebViews
- Angalia aina gani ya webviews inatumika
- Angalia hali ya
javaScriptEnabled,JavaScriptCanOpenWindowsAutomatically,hasOnlySecureContent - Angalia ikiwa webview inaweza kufikia faili za ndani kwa itifaki ya file:// (
allowFileAccessFromFileURLs,allowUniversalAccessFromFileURLs) - Angalia ikiwa Javascript inaweza kufikia njia za Asili (
JSContext,postMessage)
Mawasiliano ya Mtandao
- Fanya MitM kwa mawasiliano na utafute mapungufu ya wavuti.
- Angalia ikiwa jina la mwenyeji wa cheti limehakikiwa
- Angalia/Pitisha Certificate Pinning
Mbalimbali
- Angalia njia za kiotomatiki za kusasisha
- Angalia maktaba za tatu zenye nia mbaya
Kikundi cha Usalama cha Kujitahidi
{% embed url="https://discord.gg/tryhardsecurity" %}
Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!
Njia nyingine za kusaidia HackTricks:
- Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
- Pata bidhaa rasmi za PEASS & HackTricks
- Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs za kipekee
- Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @carlospolopm.
- Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.
Tumia Trickest kujenga na kutumia kiotomatiki mifumo ya kazi iliyopewa nguvu na zana za jamii za juu zaidi duniani.
Pata Ufikiaji Leo:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}