iOS Serialisation and Encoding
Last updated
Last updated
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
代码和更多信息请访问 https://mas.owasp.org/MASTG/iOS/0x06h-Testing-Platform-Interaction/#object-persistence。
在 iOS 中,对象序列化 涉及将对象转换为可以轻松存储或传输的格式,然后在需要时从该格式重建它们。两个主要协议,NSCoding
和 NSSecureCoding
,为 Objective-C 或 NSObject
子类提供了这一过程,允许对象序列化为 NSData
,一种包装字节缓冲区的格式。
NSCoding
实现要实现 NSCoding
,一个类必须继承自 NSObject
或标记为 @objc
。该协议要求实现两个方法来编码和解码实例变量:
NSSecureCoding
增强安全性为了减轻攻击者将数据注入已构造对象的漏洞,NSSecureCoding
提供了一种增强的协议。符合 NSSecureCoding
的类必须在解码时验证对象的类型,确保仅实例化预期的对象类型。然而,重要的是要注意,虽然 NSSecureCoding
增强了类型安全性,但它并不加密数据或确保其完整性,因此需要采取额外措施来保护敏感信息:
NSKeyedArchiver
NSKeyedArchiver
和它的对应对象 NSKeyedUnarchiver
使得将对象编码到文件中并随后检索成为可能。这个机制对于持久化对象非常有用:
Codable
简化序列化Swift 的 Codable
协议结合了 Decodable
和 Encodable
,便于对 String
、Int
、Double
等对象进行编码和解码,而无需额外的努力:
这种方法支持简单的序列化和反序列化到属性列表和 JSON,增强了 Swift 应用程序中的数据处理。
除了原生支持外,还有几个第三方库提供 JSON 和 XML 编码/解码功能,每个库都有其自身的性能特征和安全考虑。必须仔细选择这些库,特别是为了减轻像 XXE(XML 外部实体)攻击等漏洞,通过配置解析器来防止外部实体处理。
在序列化数据时,特别是写入文件系统时,必须警惕潜在的敏感信息的包含。如果序列化数据被拦截或处理不当,可能会使应用程序面临未经授权的操作或数据泄露等风险。建议对序列化数据进行加密和签名,以增强安全性。
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)