use*_*234 3 mysql encryption ios
我有一个从我的ios应用程序到我的mysql数据库的加密连接.我的问题是他们是否能够拦截ios应用程序的连接并找到带或不带加密的域
小智 8
他们是否能够拦截ios应用程序的连接
是的,他们可以这样做.至少肯定使用越狱设备 - 对于越狱设备,有几个因素使黑客行为更容易.
一方面,在越狱系统上,可以阻止Apple对应用程序可执行文件的加密(通过将未加密的程序代码从内存转储到磁盘)并运行一个名为"class-dump"的实用程序来获取Objective-C类信息(也可以在设备或IDA Pro上使用GDB调试器,以便对应用程序逻辑进行反向工程).
另一方面,用于进行iOS调整的同一个MobileSubstrate库可用于改变任何给定应用程序的行为(我已成功使用此技术在运行时绕过某些代码混淆),因此理论上攻击者会改变应用程序的通信逻辑,并转储您和您的用户的未加密数据.
紧接着,大多数可用于此类黑客攻击的标准和较少使用的Unix实用程序都被移植/编译用于越狱的iOS - 包括流行的网络嗅探工具nmap,"John the Ripper"密码破解程序,臭名昭着的aircrack-ngWEP/WPA密钥破解程序,GNU调试器(GDB)等.这些对于执行您描述的攻击也很有用.
如果连接本身是加密的,那么理论上,您的数据在线路中应该是安全的.这仍然不能阻止基于MobileSubstrate的方法进行利用.您连接的服务器的IP地址也可以相对容易地找到(甚至结束它匹配的域,因为还有已知的使用已知IP地址获取反向DNS信息的技术).
我不确定这是否有可能在没有越狱的情况下实现,但是针对苹果公司的应用程序内购买的俄罗斯黑客进行了类似的中间人攻击(有效地使基础支付系统无效并允许购买自由仅仅要求用户安装SSL证书,配置文件并使用黑客自己的代理服务器,所以我怀疑即使没有越狱也是可能的.请注意,在这种情况下,连接也是加密的,并不是重要的加密.
| 归档时间: |
|
| 查看次数: |
598 次 |
| 最近记录: |