iOS Serialisation and Encoding
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Code y más información en https://mas.owasp.org/MASTG/iOS/0x06h-Testing-Platform-Interaction/#object-persistence.
En iOS, la serialización de objetos implica convertir objetos en un formato que se puede almacenar o transmitir fácilmente, y luego reconstruirlos a partir de este formato cuando sea necesario. Dos protocolos principales, NSCoding
y NSSecureCoding
, facilitan este proceso para Objective-C o subclases de NSObject
, permitiendo que los objetos se serialicen en NSData
, un formato que envuelve búferes de bytes.
NSCoding
Para implementar NSCoding
, una clase debe heredar de NSObject
o estar marcada como @objc
. Este protocolo exige la implementación de dos métodos para codificar y decodificar variables de instancia:
NSSecureCoding
Para mitigar vulnerabilidades donde los atacantes inyectan datos en objetos ya construidos, NSSecureCoding
ofrece un protocolo mejorado. Las clases que cumplen con NSSecureCoding
deben verificar el tipo de objetos durante la decodificación, asegurando que solo se instancien los tipos de objetos esperados. Sin embargo, es crucial notar que, aunque NSSecureCoding
mejora la seguridad de tipos, no cifra los datos ni garantiza su integridad, lo que requiere medidas adicionales para proteger la información sensible:
NSKeyedArchiver
NSKeyedArchiver
y su contraparte, NSKeyedUnarchiver
, permiten codificar objetos en un archivo y recuperarlos más tarde. Este mecanismo es útil para persistir objetos:
Codable
para Serialización SimplificadaEl protocolo Codable
de Swift combina Decodable
y Encodable
, facilitando la codificación y decodificación de objetos como String
, Int
, Double
, etc., sin esfuerzo adicional:
Este enfoque admite la serialización directa hacia y desde listas de propiedades y JSON, mejorando el manejo de datos en aplicaciones Swift.
Más allá del soporte nativo, varias bibliotecas de terceros ofrecen capacidades de codificación/decodificación JSON y XML, cada una con sus propias características de rendimiento y consideraciones de seguridad. Es imperativo seleccionar cuidadosamente estas bibliotecas, especialmente para mitigar vulnerabilidades como ataques XXE (XML External Entities) configurando los analizadores para prevenir el procesamiento de entidades externas.
Al serializar datos, especialmente al sistema de archivos, es esencial estar alerta sobre la posible inclusión de información sensible. Los datos serializados, si son interceptados o manejados de manera inapropiada, pueden exponer a las aplicaciones a riesgos como acciones no autorizadas o filtraciones de datos. Se recomienda cifrar y firmar los datos serializados para mejorar la seguridad.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)