Використовуйте Trickest , щоб легко створювати та автоматизувати робочі процеси , які підтримуються найсучаснішими інструментами спільноти.
Отримайте доступ сьогодні:
Підготовка
Зберігання даних
Plist файли можуть використовуватися для зберігання чутливої інформації.
Core Data (база даних SQLite) може зберігати чутливу інформацію.
YapDatabases (база даних SQLite) може зберігати чутливу інформацію.
Keychain зазвичай використовується для зберігання чутливої інформації, яка може залишитися при перепродажу телефону.
Підсумовуючи, просто перевірте наявність чутливої інформації, збереженої додатком у файловій системі.
Клавіатури
Логи
Резервні копії
Резервні копії можуть використовуватися для доступу до чутливої інформації , збереженої у файловій системі (перевірте початковий пункт цього контрольного списку).
Також, резервні копії можуть використовуватися для модифікації деяких конфігурацій додатка , а потім відновлення резервної копії на телефоні, і оскільки модифікована конфігурація завантажується , деяка (безпекова) функціональність може бути обійдена .
Пам'ять додатків
Пошкоджена криптографія
Локальна аутентифікація
Вразливість чутливої функціональності через IPC
Перевірте, чи додаток реєструє будь-який протокол/схему .
Перевірте, чи додаток реєструється для використання будь-якого протоколу/схеми.
Перевірте, чи додаток очікує отримати будь-яку чутливу інформацію з користувацької схеми, яку можна перехопити іншим додатком, що реєструє ту ж схему.
Перевірте, чи додаток не перевіряє та не очищає введення користувачів через користувацьку схему, і чи можна експлуатувати якусь вразливість .
Перевірте, чи додаток викриває будь-яку чутливу дію , яку можна викликати з будь-якого місця через користувацьку схему.
Перевірте, чи додаток реєструє будь-який універсальний протокол/схему .
Перевірте файл apple-app-site-association
.
Перевірте, чи додаток не перевіряє та не очищає введення користувачів через користувацьку схему, і чи можна експлуатувати якусь вразливість .
Перевірте, чи додаток викриває будь-яку чутливу дію , яку можна викликати з будь-якого місця через користувацьку схему.
Перевірте, чи може додаток отримувати UIActivities і чи можливо експлуатувати будь-яку вразливість зі спеціально підготовленою активністю.
Перевірте, чи додаток копіює щось у загальний буфер обміну .
Перевірте, чи додаток використовує дані з загального буфера обміну для чогось .
Моніторте буфер обміну, щоб перевірити, чи копіюються якісь чутливі дані .
Чи використовує додаток будь-яке розширення ?
Перевірте, які види webviews використовуються.
Перевірте статус javaScriptEnabled
, JavaScriptCanOpenWindowsAutomatically
, hasOnlySecureContent
.
Перевірте, чи може webview доступати до локальних файлів з протоколом file:// ( allowFileAccessFromFileURLs
, allowUniversalAccessFromFileURLs
).
Перевірте, чи може Javascript отримати доступ до Native методів (JSContext
, postMessage
).
Мережева комунікація
Різне
Використовуйте Trickest , щоб легко створювати та автоматизувати робочі процеси , які підтримуються найсучаснішими інструментами спільноти.
Отримайте доступ сьогодні: