MASTG-TEST-0056: 确定敏感数据是否通过 IPC 机制暴露

此测试即将更新

此测试目前可使用，但将作为新的 OWASP MASTG v2 指南 的一部分进行全面修订。

请帮助我们提交一个 PR：MASTG v1->v2 MASTG-TEST-0056：确定是否通过 IPC 机制暴露敏感数据 (ios)

发送反馈

概述

静态分析

以下部分总结了您应查找以识别 iOS 源代码中 IPC 实现的关键信息。

XPC 服务

可以使用几个类来实现 NSXPCConnection API

• NSXPCConnection
• NSXPCInterface
• NSXPCListener
• NSXPCListenerEndpoint

您可以为连接设置安全属性。应验证这些属性。

在 Xcode 项目中检查以下两个文件以获取 XPC Services API（基于 C）

• xpc.h
• connection.h

Mach 端口

在底层实现中查找的关键信息

• mach_port_t
• mach_msg_*

在高层实现中查找的关键信息（Core Foundation 和 Foundation 包装器）

• CFMachPort
• CFMessagePort
• NSMachPort
• NSMessagePort

NSFileCoordinator

查找的关键信息

• NSFileCoordinator

动态分析

使用对 iOS 源代码的静态分析来验证 IPC 机制。当前没有可用于验证 IPC 使用情况的 iOS 工具。