課程:App資安規劃與實作

  • 課程網址

    NSExceptionAllowsInsecureHTTPLoads
NSIncludesSubdomains

資料安全

  • 使用 RNCryptor 或 Keychain 做檔案加密

網路安全

  • 使用 Trustkit 做 SSL Pining (OWASP推薦)

  • SSL Labs

    檢測網站憑證用,包含查看SSL pin
SSL pin = Base64(SHA256(Public Key))

  • Home

  • Hostname

  • Report

  • SSL Pin 1

  • SSL Pin 2

程式碼安全

  • Host domain 在程式碼中,應以密文形式存在

  • 加密的 Key 可用 Computed property 來做,比直接寫一個值好

// Not good
let key = "123456" 

// Not good, it will keep in memory when class initial
let key: String = 
{
  return "12"+String(30+4)+String(7*8)
}()

// Good
var key: String
{
  return "12"+String(30+4)+String(7*8)
}

  • 做動態記憶體偵測反制

    • 在AppDelegate,將 @UIApplicationMain 註解掉

    • 新增 main.swift

import Foundation
import UIKit

_ = autoreleasepool {
  UIApplicationMain(
    CommandLine.argc,
    UnsafeMutableRawPointer(CommandLine.unsafeArgv)
      .bindMemory(
        to: UnsafeMutablePointer<Int8>.self,
        capacity: Int(CommandLine.argc)),
    nil,
    NSStringFromClass(AppDelegate.self) //Or your class name
  )
}

  • 新增 DisableTrace.swift (停止 Debug mode)

    • 使用 macro,在 Release 模式時才反制

    • 使用 @inline(__always)

PreviousvisudoNextKeyChain

Last updated