iOS应用安全攻防实战 pdf epub mobi txt 电子书下载 2026

简体网页||繁体网页

☆☆☆☆☆

出版者:电子工业出版社

作者:[美]约翰坦·斯的扎斯克

出品人:

页数:384

译者:肖梓航

出版时间:2015-7

价格:79.00元

装帧:平装

isbn号码:9787121260742

丛书系列:

图书标签:

安全
iOS
ios
计算机
攻击
防御
技术
Security
iOS安全
应用安全
逆向工程
漏洞分析
攻防实战
代码审计
安全测试
移动安全
Runtime
Hook

下载链接在页面底部

facebook linkedin mastodon messenger pinterest reddit telegram twitter viber vkontakte whatsapp 复制链接

想要找书就要到小美书屋

book.quotespace.org

立刻按 ctrl+D收藏本页

你会得到大惊喜!!

具体描述

数据被盗等安全问题已经不再是一件罕见的事情了。在这个信息化的时代里，数据就是价值，而且有越来越多的迹象表明，攻击者也正逐步将攻击目标转到移动端。如何保障自己的应用数据安全？《iOS应用安全攻防实战》将会提供一些用于防御常见攻击方法的方式。安全专家Jonathan Zdziarski 将演示攻击者用来窃取数据、操控软件的许多技术，并向开发者介绍如何避免在软件中犯下各类常见的错误，以及避免软件被轻易地攻击。

【洞悉现代应用构建的基石，精通前沿技术实践的指南】本书并非一本关于特定操作系统应用安全的学术专著，而是聚焦于当前数字化浪潮中，那些支撑我们日常数字生活的核心技术栈及其安全维度。它将带您深入剖析那些构成现代互联网应用、数据处理及自动化流程的基石，并着眼于如何构建、部署和维护这些系统，使其能够抵御不断演进的安全威胁。第一部分：构建可信赖的数字服务在数字服务日益普及的今天，信任是用户与服务之间最重要的连接。本部分将系统性地阐述构建安全、可靠、高性能数字服务所需的核心技术与理念。下一代后端架构：我们将深入探讨微服务、Serverless 等现代后端架构的演进，分析它们在应对高并发、弹性扩展以及快速迭代方面的优势。同时，也将重点关注这些架构在安全性方面带来的新挑战，例如服务间通信的安全、API 网关的设计与保护、以及如何实现精细化的访问控制。您将了解到如何利用容器化技术（如 Docker）和容器编排系统（如 Kubernetes）来高效地部署和管理这些服务，并学习到如何通过自动化流水线（CI/CD）来确保代码的质量和部署的安全性。数据驱动的智能决策：随着大数据时代的到来，数据已成为驱动业务增长和智能决策的核心。本部分将深入浅出地介绍数据采集、存储、处理和分析的完整流程。您将了解不同类型的数据存储方案（如关系型数据库、NoSQL 数据库、数据仓库、数据湖）的特点与适用场景，并学习到如何设计高效、可扩展的数据管道。在安全方面，我们将重点关注数据隐私保护、数据加密技术（静态加密与传输加密）、以及如何防止数据泄露和滥用，确保敏感数据的安全。分布式系统与共识机制：现代应用往往建立在复杂的分布式系统之上。本部分将揭示分布式系统的设计原则，包括一致性、可用性、分区容错性（CAP 定理）等核心概念。您将理解 RPC（远程过程调用）、消息队列等通信机制的工作原理，并探讨如何构建健壮的分布式事务。特别地，我们还将引入区块链等去中心化技术及其背后的共识机制，理解它们如何在无需中心信任的情况下保证数据的完整性和安全性，为构建高度可信的分布式账本应用提供理论基础。第二部分：应对无处不在的安全挑战技术的发展与安全威胁的演进永远是相伴相生的。本部分将从攻防两端出发，为您呈现当前数字世界面临的主要安全挑战，并提供切实可行的应对策略。 Web 应用安全深度解析： Web 应用作为互联网最主要的入口，其安全至关重要。本部分将详尽剖析 OWASP Top 10 等经典 Web 安全漏洞，如 SQL 注入、跨站脚本（XSS）、跨站请求伪造（CSRF）、敏感信息泄露、不安全的身份验证与会话管理等。您将学习到如何通过编码规范、输入校验、输出编码、安全配置等手段来有效防御这些攻击。同时，也将探讨前端框架（如 React, Vue, Angular）和后端框架（如 Spring, Django, Node.js）在安全开发中的最佳实践。 API 安全：现代应用的生命线： API 已成为连接不同系统和服务、实现业务互联互通的关键。本部分将聚焦 API 安全，涵盖 RESTful API、GraphQL API 等设计模式下的安全考量。您将深入理解 OAuth 2.0、OpenID Connect 等身份验证与授权协议，并学习如何设计安全的 API 密钥管理、速率限制、以及 API 网关策略。针对 API 滥用、数据泄露等威胁，也将提供有效的防护措施。云原生安全：构建弹性安全的云端基石：云计算已成为主流。本部分将深入探索云原生环境下的安全模型。您将了解容器安全（镜像安全、运行时安全）、Kubernetes 安全（RBAC、网络策略）、以及云平台（AWS, Azure, GCP）的责任共担模型。我们将讨论如何在云环境中实现身份与访问管理（IAM）、密钥管理、日志审计，并探讨 DevSecOps 的理念，将安全融入到软件开发的整个生命周期。代码审计与漏洞挖掘：知己知彼，百战不殆。本部分将引导您掌握代码审计的基本方法和技巧，理解如何通过静态分析和动态分析来发现潜在的安全隐患。您将学习如何阅读和理解常见的编程语言（如 Java, Python, Go）的代码，识别逻辑错误、权限绕过、内存安全问题等。同时，也将介绍一些常用的漏洞扫描工具和技术，培养您成为一名具备发现和解决安全问题的专业人士。安全开发生命周期（SDLC）与 DevSecOps：安全不应是事后补救，而应贯穿于开发的每一个环节。本部分将系统性地介绍安全开发生命周期（SDLC）的各个阶段，从需求分析、设计、编码、测试到部署和运维，如何嵌入安全考虑。我们将深入探讨 DevSecOps 的核心理念，即“安全左移”，通过自动化工具和流程，将安全实践融入 CI/CD 流水线，实现安全与开发效率的协同。第三部分：前沿技术与未来展望数字世界的演进永无止境，技术的前沿总在不断突破。本部分将带您眺望未来，了解那些正在重塑数字格局的新兴技术及其安全挑战。人工智能与机器学习的安全：人工智能和机器学习在带来巨大便利的同时，也带来了新的安全风险。本部分将探讨模型本身的安全性，如对抗性攻击（Adversarial Attacks）、模型窃取、数据投毒等，以及如何保护训练数据和模型免受侵害。您还将了解如何在 AI 应用中融入安全机制，确保其决策的公平性和可靠性。零信任架构：重塑安全边界：传统的边界安全模型已不再适用。本部分将深入介绍零信任（Zero Trust）的安全理念，即“永不信任，始终验证”。您将理解如何通过微隔离、身份为中心的安全控制、持续的监控与验证等手段，构建更加弹性、主动的安全防御体系。 Web3 与去中心化应用的安全： Web3 代表着下一代互联网的愿景，而去中心化应用（dApps）是其重要载体。本部分将探讨智能合约的安全性、共识机制的漏洞、以及去中心化金融（DeFi）等领域的独特安全挑战。您将了解如何审计智能合约代码，防范常见的攻击模式，并理解 Web3 生态系统中的安全风险与应对之道。本书旨在培养读者从宏观到微观、从理论到实践的安全思维，使其能够更自信地驾驭复杂的数字技术，构建更加安全、可靠的数字产品与服务。它适合所有对现代应用构建、数据安全、以及网络攻防感兴趣的技术从业者、开发者、架构师、安全工程师以及对数字世界安全充满好奇的读者。我们将以清晰的逻辑、丰富的案例、以及前瞻性的视角，为您呈现一场关于数字安全与技术实践的深度探索之旅。

作者简介

目录信息

前言 .................................... xv
第1 章你所知道的一切都是错的 ................................... 1
单一化方案的误解 ...............2
iOS 安全模型 ......................4
iOS 安全模型的组件 .....4
钥匙和锁存在一起 ...............7
密码等于弱安全 ..................8
数字取证击败加密 ...............9
外部数据同样也有风险 ......10
劫持流量 ............................10
数据可能很快就被偷走 ........................................ 11
谁都不要信，包括你的应用软件 ................................12
物理访问并非必需的 .........13
总结 ...................................14
第1 篇攻击
第2 章 iOS 攻击基础 ......... 17
为什么要学习如何破解一台设备 ................................17
越狱解析 ............................18
开发者工具 .................18
终端用户越狱 ....................20
越狱一台iPhone .........21
DFU 模式 ....................22
不完美越狱和完美越狱 ........................................24
攻破设备并注入代码 .........24
构建定制代码 ..............25
分析你的二进制程序 .........27
测试你的二进制程序 .........29
代码守护化 .................31
以tar 归档包的形式部署恶意代码 .......................35
以RAM 磁盘形式部署恶意代码 ..........................36
练习 ...................................50
总结 ...................................50
第3 章窃取文件系统 ......... 53
全盘加密 ............................53
固态NAND .................53
磁盘加密 .....................54
iOS 硬盘加密会让你在哪里失败 ..........................55
复制实时文件系统 .............56
DataTheft 载荷 ............56
定制launchd ................66
准备RAM 磁盘 ...........72
创建文件系统镜像 ......73
复制原始文件系统 .............75
RawTheft 载荷.............75
定制launchd ................80
准备RAM 磁盘 ...........81
创建文件系统镜像 ......82
练习 ...................................83
社会工程学的作用 .............83
无法正常使用的诱饵设备 ....................................84
未激活的诱饵设备 ......85
包含恶意代码的诱饵 ...86
密码工程学软件 ..........86
总结 ...................................87
第4 章取证跟踪和数据泄露 ........................................ 89
提取照片的地理标签 .........90
被合并到一起的GPS 缓存 ...................................91
SQLite 数据库 ....................93
连接到一个数据库 ......93
SQLite 内建命令 .........94
执行SQL 查询 ............95
重要的数据库文件 ......95
联系人地址簿 ..............95
地址簿头像 .................97
Google 地图数据 .........99
日历事件 ................... 105
通话记录 ................... 105
电子邮件数据库 ........ 106
笔记 ........................... 107
照片元数据 ............... 108
短信 ........................... 108
Safari 书签 ................. 109
短信spotlight 缓存 .... 109
Safari Web 缓存 ......... 110
Web 应用缓存 ........... 110
WebKit 存储 .............. 110
语音邮件 ................... 110
对残余的数据库记录进行逆向 ................................. 111
短信草稿 .......................... 113
属性列表 .......................... 113
重要的属性列表文件 . 114
其他重要的文件 ............... 119
总结 ................................. 121
第5 章对抗加密 .............. 123
Sogeti 数据保护工具 ........ 123
安装数据保护工具 .... 124
构建暴力破解器 ........ 125
构建需要的Python 库 ........................................ 126
提取加密密钥 .................. 126
KeyTheft 载荷 ........... 126
定制launchd .............. 127
准备RAM 磁盘 ......... 128
准备内核 ................... 129
执行暴力破解 ............ 130
解密钥匙链 ...................... 133
解密原始磁盘 .................. 135
解密iTunes 备份文件 ...... 137
通过间谍件对抗加密 ....... 137
SpyTheft 载荷............ 138
将spyd 守护化 .......... 143
定制launchd .............. 144
准备RAM 磁盘 ......... 145
执行载荷 ................... 145
练习 ................................. 146
总结 ................................. 146
第6 章无法销毁的文件 ... 147
刮取HFS 日志 ................. 148
还原闲置空间 .................. 150
常被还原出来的数据 ....... 150
应用软件屏幕截图 .... 150
已删除的属性列表 .... 152
已删除的语音邮件和录音 .................................. 152
以删除的键盘缓存 .... 152
照片和其他个人信息 . 152
总结 ................................. 153
第7 章操作运行时环境 ... 155
分析二进制软件 ............... 156
Mach-O 文件格式 ...... 156
class-dump-z 简介 ..... 160
符号表 ....................... 161
加密的二进制文件 ........... 163
计算偏移值 ............... 164
转储内存 ................... 165
将解密的代码复制回文件 .................................. 167
重置cryptid ............... 168
利用Cycript 操作运行时 . 170
安装Cycript .............. 171
使用Cycript .............. 171
破解简单的锁 ............ 173
替换方法 ................... 180
撒网搜寻数据 ............ 182
记录数据 ................... 185
更多严重的隐含问题 . 186
练习 ................................. 194
SpringBoard 动画 ...... 194
接听来电 ................... 195
屏幕截图 ................... 195
总结 ................................. 195
第8 章操纵运行时库 ....... 197
Objective-C 程序解析 ...... 197
类实例变量 ............... 199
类方法 ....................... 200
类方法缓存 ............... 200
反汇编与调试 .................. 201
监视 ........................... 206
底层Objective-C 框架 ........................................ 208
Objective-C 接口 ....... 210
恶意代码注入 .................. 212
CodeTheft 载荷 ......... 212
使用调试器注入 ........ 213
使用动态连接攻击注入 .... 215
全设备感染 ............... 216
总结 ................................. 217
第9 章劫持流量 .............. 219
APN 劫持 ......................... 219
交付载荷 ................... 222
清除 ........................... 224
简单的代理设置 ............... 225
攻击SSL .......................... 225
SSLStrip .................... 225
Paros Proxy ............... 227
浏览器警告 ............... 228
攻击应用软件级别的SSL 验证 ................................ 231
SSLTheft 载荷 ........... 233
劫持基础HTTP 类 ........... 238
POSTTheft 载荷 ........ 238
分析数据 .......................... 241
Driftnet ............................. 243
构建 ........................... 243
运行 ........................... 244
练习 ................................. 246
总结 ................................. 246
第2 篇防护
第10 章加密实现 ............ 249
密码强度 .......................... 249
当心随机密码生成器 . 252
Common Crypto 介绍 ....... 253
无状态操作 ............... 253
有状态加密 ............... 258
主密钥加密 ...................... 261
地理加密 .......................... 266
使用口令的地理加密 . 269
拆分服务器端密钥 ........... 271
安全内存 .......................... 273
清除内存 ................... 274
公钥加密体系 .................. 275
练习 ................................. 280
第11 章反取证 ............... 281
安全的文件擦除 ............... 281
美国国防部 5220.22-M 标准擦除 ....................... 282
Objective-C ............... 284
擦除SQL 记录 ................. 286
键盘缓存 .......................... 292
随机化PIN 码 .................. 292
应用程序屏幕快照 ........... 294
第12 章运行时库安全 ..... 297
篡改响应 .......................... 297
擦除用户数据 ............ 298
禁止网络访问 ............ 298
报告机制 ................... 299
启用日志记录 ............ 299
暗桩和自杀分支 ........ 299
进程调试检测 .................. 300
阻挡调试器 ...................... 302
运行时库类完整性检查 .... 304
检查内存地址空间 .... 304
内联函数 .......................... 316
反汇编复杂化 .................. 324
优化标记 ................... 324
去除符号 ................... 329
循环展开-funroll-loops ...................................... 336
练习 ................................. 339
第13 章越狱检测 ............ 341
沙盒完整性检测 ............... 341
文件系统检测 .................. 343
越狱文件是否存在 .... 343
/etc/fstab 文件大小 .... 344
符号链接检测 ............ 345
分页执行检查 .................. 345
第14 章下一步 ............... 347
像攻击者一样思考 ........... 347
其他逆向攻击 .................. 347
安全对抗代码管理 ........... 348
灵活的方式实现安全 ....... 349
其他不错的书籍 ............... 349
附录A 新的起点 ............... 351
· · · · · · (收起)