問題タブ [security-testing]

開発中の iOS アプリのセキュリティ テストの一環として、さまざまな API に接続するときに SSL/TLS 証明書が正しく検証されることを確認したいと思います。Mac に mitmproxy をインストールし、それを透過プロキシとして構成してから、この透過プロキシ iOS WiFi スクリーンショットに基づいて WiFi を構成しました。iPhone が WiFi に接続されていることを示すのに非常に長い時間がかかり、その後ネットワークにアクセスできなくなります。イベントログを含め、mitmproxy には何も表示されません。

mitmproxy 構成の詳細

システムpythonにmitmproxy 0.11.3をインストールしました（そして、OSXに同梱されている古いpyOpenSSLの名前を変更して、pipによってmitmproxyとともにインストールされたpyOpenSSL 0.14を使用するようにしました）。

次のスクリプトを使用して、pf と mitmproxy を構成および開始しています。

インターフェイス en0 は、私の Mac の WiFi 接続です。

そのスクリプトからの出力 (control-C で mitmproxy を停止した後に表示されます) は次のようになります。

iOS構成の詳細

iOS 8.1 で物理的な iPhone5s を使用しており、Mac と同じ WiFi ネットワークに接続しています。私のWiFi構成は次のようになります。

192.168.20.118 を使用しました。これは、ifconfig を使用して見つけた同じ WiFi ネットワーク上の Mac の IP アドレスであるためです。

最近はiOSアプリのセキュリティテストに携わっています。このアプリは、iPhone 5 の iOS で実行されます。このアプリは、ユーザーが街のさまざまな場所で発生するイベントを予約できる「bookmyshow」アプリに似ています。

SQL インジェクション テストを実行し、セキュリティ バグがあれば報告する必要があります。私はこの仕事について文字通り無知です。どんな助けでも大歓迎です。

注:デバイスは通常の iPhone 5 & ジェイルブレイクされたデバイスではありません。

前もって感謝します、

初心者_学生

iOS アプリのバッファ オーバー フローに関連する脆弱性を見つける必要があります。バッファ オーバー フローとは何かについての基本的な理解はありますが、bufferoverflow に関連する iOS アプリケーションのバグを見つけるためのツールや手法については知りません。

誰でも助けることができますか？

よろしく

初心者

すべてのフィールドでこの文字列を (alert("XSSTest")) テスト侵入テストに渡す必要があります。私でさえ、これについてあまり考えていません。現在、このテキスト/スクリプトを Web アプリケーションのすべてのフィールドに手動で入力しています。このタスクを容易にするツールがあるかどうか、誰かが私に提案できますか。FFブラウザ用のプラグインもたくさんあると聞きました。

バンキング ドメインのモバイル アプリケーションが 1 つある場合、そのアプリケーションにセキュリティ テストを実装するにはどうすればよいですか?