iOS Universal Links
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Universal links hutoa uzoefu wa uelekezaji usio na mshono kwa watumiaji kwa kufungua moja kwa moja maudhui katika programu, ikiepuka hitaji la uelekezaji wa Safari. Viungo hivi ni vya kipekee na salama, kwani haviwezi kudaiwa na programu nyingine. Hii inahakikishwa kwa kuhifadhi faili ya apple-app-site-association
JSON katika saraka ya mzizi ya tovuti, kuanzisha kiungo kinachoweza kuthibitishwa kati ya tovuti na programu. Katika hali ambapo programu haijasanidiwa, Safari itachukua na kumwelekeza mtumiaji kwenye ukurasa wa wavuti, ikihifadhi uwepo wa programu.
Kwa wapimaji wa penetration, faili ya apple-app-site-association
ni ya umuhimu maalum kwani inaweza kufichua njia nyeti, huenda ikijumuisha zile zinazohusiana na vipengele ambavyo havijachapishwa.
Wakuu wa programu wanawezesha Universal Links kwa kusanidi Domains Zinazohusiana katika tab ya Uwezo ya Xcode au kwa kukagua faili ya .entitlements
. Kila domain ina mwanzo wa applinks:
. Kwa mfano, usanidi wa Telegram unaweza kuonekana kama ifuatavyo:
Kwa maelezo zaidi ya kina, rejelea nyaraka za Apple Developer zilizohifadhiwa.
Ikiwa unafanya kazi na programu iliyokusanywa, haki zinaweza kutolewa kama ilivyoelezwa katika hiki kiongozi.
Faili ya apple-app-site-association
inapaswa kurejeshwa kutoka kwa seva kwa kutumia maeneo yaliyoainishwa katika haki. Hakikisha faili inapatikana kupitia HTTPS moja kwa moja kwenye https://<domain>/apple-app-site-association
. Zana kama Mthibitishaji wa Muungano wa Tovuti ya Programu ya Apple (AASA) zinaweza kusaidia katika mchakato huu.
Programu lazima itekeleze mbinu maalum ili kushughulikia viungo vya ulimwengu kwa usahihi. Mbinu kuu ya kutafuta ni application:continueUserActivity:restorationHandler:
. Ni muhimu kwamba mpango wa URLs zinazoshughulikiwa ni HTTP au HTTPS, kwani zingine hazitasaidiwa.
Wakati kiungo cha ulimwengu kinapofungua programu, kitu cha NSUserActivity
kinapitishwa kwa programu na URL. Kabla ya kushughulikia URL hii, ni muhimu kuthibitisha na kusafisha ili kuzuia hatari za usalama. Hapa kuna mfano katika Swift unaoonyesha mchakato:
URLs zinapaswa kuchambuliwa na kuthibitishwa kwa makini, hasa ikiwa zinajumuisha vigezo, ili kujilinda dhidi ya udanganyifu wa uwezekano au data isiyo sahihi. API ya NSURLComponents
ni muhimu kwa ajili hii, kama inavyoonyeshwa hapa chini:
Kupitia mipangilio na uthibitisho wa makini, waendelezaji wanaweza kuhakikisha kwamba viungo vya ulimwengu vinaboresha uzoefu wa mtumiaji huku wakihifadhi viwango vya usalama na faragha.
GetUniversal.link: Inasaidia kurahisisha upimaji na usimamizi wa Viungo vya Ulimwengu vya programu yako na faili ya AASA. Ingiza tu kikoa chako ili kuthibitisha uhalali wa faili ya AASA au tumia dashibodi maalum ili kupima tabia ya kiungo kwa urahisi. Chombo hiki pia kinakusaidia kubaini wakati Apple itakapofanya utafutaji wa faili yako ya AASA.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)