iOS Serialisation and Encoding
Last updated
Last updated
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Κώδικας και περισσότερες πληροφορίες στο https://mas.owasp.org/MASTG/iOS/0x06h-Testing-Platform-Interaction/#object-persistence.
Στην iOS, η σειριοποίηση αντικειμένων περιλαμβάνει τη μετατροπή αντικειμένων σε μια μορφή που μπορεί να αποθηκευτεί ή να μεταδοθεί εύκολα, και στη συνέχεια την ανακατασκευή τους από αυτή τη μορφή όταν χρειάζεται. Δύο κύρια πρωτόκολλα, NSCoding
και NSSecureCoding
, διευκολύνουν αυτή τη διαδικασία για τις υποκλάσεις Objective-C ή NSObject
, επιτρέποντας στα αντικείμενα να σειριοποιούνται σε NSData
, μια μορφή που περιτυλίγει byte buffers.
NSCoding
ΥλοποίησηΓια να υλοποιηθεί το NSCoding
, μια κλάση πρέπει να κληρονομήσει από το NSObject
ή να είναι σημειωμένη ως @objc
. Αυτό το πρωτόκολλο απαιτεί την υλοποίηση δύο μεθόδων για την κωδικοποίηση και την αποκωδικοποίηση των μεταβλητών στιγμής:
NSSecureCoding
Για να μετριαστούν οι ευπάθειες όπου οι επιτιθέμενοι εισάγουν δεδομένα σε ήδη κατασκευασμένα αντικείμενα, το NSSecureCoding
προσφέρει ένα ενισχυμένο πρωτόκολλο. Οι κλάσεις που συμμορφώνονται με το NSSecureCoding
πρέπει να επαληθεύουν τον τύπο των αντικειμένων κατά την αποκωδικοποίηση, διασφαλίζοντας ότι μόνο οι αναμενόμενοι τύποι αντικειμένων δημιουργούνται. Ωστόσο, είναι κρίσιμο να σημειωθεί ότι ενώ το NSSecureCoding
ενισχύει την ασφάλεια τύπων, δεν κρυπτογραφεί τα δεδομένα ή δεν διασφαλίζει την ακεραιότητά τους, απαιτώντας επιπλέον μέτρα για την προστασία ευαίσθητων πληροφοριών:
NSKeyedArchiver
NSKeyedArchiver
και ο αντίστοιχός του, NSKeyedUnarchiver
, επιτρέπουν την κωδικοποίηση αντικειμένων σε ένα αρχείο και την αργότερα ανάκτησή τους. Αυτός ο μηχανισμός είναι χρήσιμος για τη διατήρηση αντικειμένων:
Codable
for Simplified SerializationΤο πρωτόκολλο Codable
της Swift συνδυάζει τα Decodable
και Encodable
, διευκολύνοντας την κωδικοποίηση και αποκωδικοποίηση αντικειμένων όπως String
, Int
, Double
, κ.λπ., χωρίς επιπλέον προσπάθεια:
Αυτή η προσέγγιση υποστηρίζει την απλή σειριοποίηση προς και από λίστες ιδιοτήτων και JSON, βελτιώνοντας τη διαχείριση δεδομένων σε εφαρμογές Swift.
Πέρα από την εγγενή υποστήριξη, πολλές βιβλιοθήκες τρίτων προσφέρουν δυνατότητες κωδικοποίησης/αποκωδικοποίησης JSON και XML, καθεμία με τα δικά της χαρακτηριστικά απόδοσης και ασφάλειας. Είναι επιτακτική ανάγκη να επιλέγονται προσεκτικά αυτές οι βιβλιοθήκες, ειδικά για να μετριαστούν οι ευπάθειες όπως οι επιθέσεις XXE (XML External Entities) ρυθμίζοντας τους αναλυτές ώστε να αποτρέπεται η επεξεργασία εξωτερικών οντοτήτων.
Κατά τη σειριοποίηση δεδομένων, ειδικά προς το σύστημα αρχείων, είναι ουσιώδες να είστε προσεκτικοί σχετικά με την πιθανή συμπερίληψη ευαίσθητων πληροφοριών. Τα σειριοποιημένα δεδομένα, αν παρεμποδιστούν ή χειριστούν ακατάλληλα, μπορούν να εκθέσουν τις εφαρμογές σε κινδύνους όπως μη εξουσιοδοτημένες ενέργειες ή διαρροή δεδομένων. Συνιστάται η κρυπτογράφηση και η υπογραφή των σειριοποιημένων δεδομένων για την ενίσχυση της ασφάλειας.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)