MASTG-TEST-0090: 测试文件完整性检查
此测试即将更新
此测试目前可使用,但将作为新的 OWASP MASTG v2 指南 的一部分进行全面修订。
通过提交 PR 来帮助我们:MASTG v1->v2 MASTG-TEST-0090:测试文件完整性检查 (ios)
概述¶
应用源代码完整性检查
在未修改状态的设备上运行应用,并确保一切正常。 然后对可执行文件应用一些补丁(例如,请参阅 将 Frida Gadget 自动注入到 IPA 中),重新签名应用( 对 IPA 文件签名),然后运行它。
应用应该以某种方式响应。 例如通过
- 提醒用户并要求接受责任。
- 通过优雅地终止来防止执行。
- 安全地擦除设备上存储的任何敏感数据。
- 报告给后端服务器,例如,用于欺诈检测。
努力绕过这些防御措施,并回答以下问题
- 这些机制可以很容易地被绕过吗(例如,通过hook单个 API 函数)?
- 通过静态和动态分析识别检测代码有多困难?
- 您是否需要编写自定义代码来禁用防御措施? 您需要多少时间?
- 您如何评估绕过这些机制的难度?
文件存储完整性检查
转到 访问应用数据目录中指示的应用数据目录,并修改一些文件。
接下来,努力绕过这些防御措施,并回答以下问题
- 这些机制是否可以轻易绕过(例如,通过更改文件或键值对的内容)?
- 获取 HMAC 密钥或非对称私钥有多困难?
- 您是否需要编写自定义代码来禁用防御措施? 您需要多少时间?
- 您如何评估绕过这些机制的难度?