hacktricks/mobile-pentesting/ios-pentesting/ios-custom-uri-handlers-deeplinks-custom-schemes.md

5.6 KiB
Raw Blame History

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS红队专家

支持HackTricks的其他方式

这是来自https://mas.owasp.org/MASTG/tests/ios/MASVS-PLATFORM/MASTG-TEST-0075/相关信息的摘要。

基本信息

自定义URL schemes使应用程序能够使用自定义协议进行通信详细信息请参阅Apple开发人员文档。这些方案必须由应用程序声明然后处理遵循这些方案的传入URL。验证所有URL参数丢弃任何格式错误的URL是至关重要的,以防止通过此向量进行攻击。

例如URI myapp://hostname?data=123876123 调用特定应用程序操作。一个已知的漏洞出现在Skype移动应用程序中允许通过skype://协议执行未经许可的呼叫操作。注册的方案可以在应用程序的Info.plist中的CFBundleURLTypes下找到。恶意应用程序可以通过重新注册URI来拦截敏感信息来利用这一点。

应用程序查询方案注册

从iOS 9.0开始,要检查应用程序是否可用,canOpenURL:需要在Info.plist中的LSApplicationQueriesSchemes下声明URL方案。这限制了应用程序可以查询的方案为50个通过阻止应用程序枚举来增强隐私保护。

<key>LSApplicationQueriesSchemes</key>
<array>
<string>url_scheme1</string>
<string>url_scheme2</string>
</array>

测试URL处理和验证

开发人员应检查源代码中的特定方法以了解URL路径的构建和验证例如 application:didFinishLaunchingWithOptions:application:openURL:options:。例如Telegram 使用各种方法来打开URL

func application(_ application: UIApplication, open url: URL, sourceApplication: String?) -> Bool {
self.openUrl(url: url)
return true
}

func application(_ application: UIApplication, open url: URL, sourceApplication: String?,
annotation: Any) -> Bool {
self.openUrl(url: url)
return true
}

func application(_ app: UIApplication, open url: URL,
options: [UIApplicationOpenURLOptionsKey : Any] = [:]) -> Bool {
self.openUrl(url: url)
return true
}

func application(_ application: UIApplication, handleOpen url: URL) -> Bool {
self.openUrl(url: url)
return true
}

测试向其他应用程序发送URL请求

诸如 openURL:options:completionHandler: 这样的方法对于打开URL以与其他应用程序交互至关重要。在应用程序源代码中识别这些方法的使用对于理解外部通信至关重要。

测试已弃用的方法

应该识别处理URL打开的已弃用方法例如 application:handleOpenURL:openURL:,并对其进行安全性影响审查。

对URL方案进行模糊测试

对URL方案进行模糊测试可以识别内存损坏漏洞。像Frida这样的工具可以通过使用不同有效负载打开URL来自动化此过程以监视崩溃情况例如在 iGoat-Swift 应用程序中操纵URL。

$ frida -U SpringBoard -l ios-url-scheme-fuzzing.js
[iPhone::SpringBoard]-> fuzz("iGoat", "iGoat://?contactNumber={0}&message={0}")
Watching for crashes from iGoat...
No logs were moved.
Opened URL: iGoat://?contactNumber=0&message=0

参考资料

从零开始学习AWS黑客技术 htARTEHackTricks AWS Red Team Expert

支持HackTricks的其他方式