记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

一份走心的iOS开发规范

前言说是前言,其实也是本文诞生的目的。随着公司业务的不断增加,功能的快速迭代,app的业务线越来越多,代码体积变得越来越庞大。同时,app投入的开发者也也越来越多,不同的开发者的code风格千差万别。加之公司开发者人员变动,为了保证app稳定性,保证开发效率,统一开发风格。于是,这篇iOS开发规范应运而生。 因笔者现在所就职公司的开发规范主导编写,目前公司业务的迭代都在按照这个规范在有条不紊的进行。综合之前编写规范的经验,历时一个月的时间,断断续续重新梳理了一份比较全面、比较完整的iOS开发者规范,希望这些条条框框能够给正在阅读的你提供一些参考的价值。
发布时间:2021-10-24 04:29 | 阅读:348 | 评论:0 | 标签:iOS ios

“天府杯”黑客大赛中破解了在 iPhone 13 上运行的完整补丁 iOS 15

天府杯是在中国举办的最重要的黑客大赛,今年白帽黑客通过展示流行软件的漏洞赚了 188 万美元。今年的版本于10月16日至17日在成都举行,参赛者在5分钟内进行了3次尝试,展示了他们的功勋。获胜者是安全公司 昆仑实验室,在网络昆仑和昆仑实验室首席执行官、奇虎 360 前 CTO 和 360Vulcan 团队创始人的惊人专家@mj0011的推文下,他获得了 654,500 美元。
发布时间:2021-10-18 12:15 | 阅读:10756 | 评论:0 | 标签:iOS phone 黑客 ios 大赛 破解

WhatsApp在iOS和Android推出端到端加密聊天备份功能

WhatsApp正在iOS和Android上推出端到端加密聊天备份功能,以防止除用户外的其他人访问备份的聊天内容。根据目前的机制,WhatsApp会根据用户所在系统平台,将聊天记录信息备份到相应的云存储服务上,如ios用户存储在iCloud上,Android用户存储在Google Drive上。即使用户更换了新设备,WhatsApp也能恢复其备份的聊天记录。虽然WhatsApp上的聊天是端到端加密 (e2ee),但存储在云服务上的备份并没有采用这项技术,理论上可以被任何有权访问用户手机的人获取,并执行中间人(MiTM)攻击,或通过SIM交换攻击接管号码。
发布时间:2021-10-15 15:47 | 阅读:13066 | 评论:0 | 标签:加密 Android iOS app ios android

苹果发布紧急iOS更新修补新的零日漏洞

苹果公司在周一匆忙发布了iOS 15.0.2和iPadOS 15.0.2的安全更新,修复了一个正在被大量利用的远程代码执行(RCE)零日漏洞。在几个小时内,一位安全研究人员将该漏洞进行了分析,并公布了概念验证代码而且对该漏洞进行了解释,这意味着现在最好去更新你的iOS设备。一周半前,苹果发布了iOS 15.0.1,修复了一系列的性能故障,iOS 15.0.2是该新操作系统的第一个安全更新。
发布时间:2021-10-15 13:14 | 阅读:14437 | 评论:0 | 标签:漏洞 iOS ios

如何在 iOS 应用程序中安全实现 WebView

这篇文章讨论了如何确保安全的 WebViews 以及如何限制其攻击面。Webview是我们前端开发从PC端演进到移动端的一个重要载体,现在大家每天使用的App,webview都发挥着它的重要性。其实webview的应用场景远远不止这些,其实在一些PC的软件里,和我们交互的也是我们的html页面,另外,还有一些网络机顶盒里的交互,也是使用webview,比如一些早期的IPTV里的EPG都是运行在webview里的。由于最近我有机会观察了许多新的WebView应用程序,所以我写了这篇文章。几年前,如果有人想创建一个多平台应用程序,几乎必须在每个平台上创建不同的代码库。
发布时间:2021-10-15 13:14 | 阅读:14659 | 评论:0 | 标签:iOS ios 安全

苹果发布iOS 15.0.2和iPadOS15.0.2,紧急修复0day漏洞

2021年10月12日凌晨1点,距离上个版本发布仅10天,苹果就向全球用户推送了 iOS15.0.2系统,同时发布的还有 iPadOS15.0.2。本次更新除了修复信息与照片、应用等一系列问题外,紧急修复了一个正在被黑客广泛利用的0day漏洞,漏洞编号CVE-2021-30883。该漏洞出现在IOMobileFrameBuffer区域,涉及一个严重的内存损坏问题。攻击者可通过应用程序触发漏洞,并使用内核权限来执行命令。苹果公司也意识到,有人会利用这个漏洞发起攻击,但它依旧拒绝共享它们的详细信息。
发布时间:2021-10-12 15:51 | 阅读:19734 | 评论:0 | 标签:0day 漏洞 iOS ios

微信频繁读取 iOS15 用户的相册?

微信又上了热搜。微信上热搜不奇怪,微信做个拍一拍都能上热搜,微信的功能更新写「解决了一些已知问题」都能上热搜。但是微信不告知用户读取隐私信息能上热搜,这我就奇怪了。我和微信团队有过很多次交流,在我看来微信是非常注重保护用户隐私的团队,于是我决定了解一下这个事情的来龙去脉。起因是什么呢?有用户开启了 iOS 15 的隐私新特性「纪录 App 活动」,对所有 App 的隐私相关数据行为进行了好几天的监控,同时使用了 App Privacy Insights 进行了日志记录。
发布时间:2021-10-10 12:34 | 阅读:28483 | 评论:0 | 标签:iOS ios 微信

iOS 15 iPhone锁屏绕过漏洞

研究人员在iOS 15系统中发现一个新的尚未修复的iPhone锁屏漏洞。9月15日,安全研究人员Jose Rodriguez (@VBarraquito)发推称发现了iOS 15和iOS 14.8系统中的尚未修复的锁屏漏洞,可以直接接触到有漏洞设备的攻击者可以通过Siri/Voice Over来绕过锁屏访问Notes APP。Rodriguez称在现实攻击中,被窃的设备可能会成为攻击的主要目标,攻击者可以利用该锁屏绕过漏洞来访问敏感信息。攻击者利用该漏洞还可以在手机被锁定的情况下,访问即时消息WhatsApp 或Telegram这样的 APP。
发布时间:2021-10-01 13:14 | 阅读:40981 | 评论:0 | 标签:漏洞 iOS phone ios

iOS 15 iCloud Private Relay漏洞泄露用户真实IP地址

苹果iOS 15中引入的iCloud private relay服务漏洞致使用户真实IP地址泄露。iCloud Private Relay服务是苹果iOS 15 测试版中引入的新功能,可以让用户通过Safari浏览器以一种更加安全和隐私的方式来浏览器网络。该服务确保离开设备的流量是加密的,分别使用2个互联网中继让用户可以不使用真实的IP地址和位置来浏览网络。使用iCloud Private Relay的客户端IP地址泄露FingerprintJS安全研究人员发现,用户通过服务器收到的HTTP请求,就可以获取代理的IP地址。也可以通过webRTC来获取客户端的真实IP 地址。
发布时间:2021-09-28 11:47 | 阅读:41914 | 评论:0 | 标签:漏洞 iOS 泄露 ios

思科已修补 IOS XE 软件的三个关键漏洞

IOS XE软件被用于各种核心路由器和交换机,思科已经修复了该软件的三个关键安全漏洞。 这三个严重的警告是思科发布的32个安全警告的一部分,包括防火墙、SD-WAN和无线访问漏洞。 最严重的安全漏洞发现于Cisco Catalyst 9000系列无线控制器的Cisco IOS XE软件,它在通用漏洞评分系统(CVSS)上被评为10分(满分10分)。 该漏洞有概率允许未经身份验证的远程攻击者使用管理权限执行任意代码,或在易受攻击的设备上触发DoS拒绝服务攻击。攻击者可以通过向受影响的设备发送一个精心制作的CAPWAP数据包来利用这个漏洞。CAPWAP是一种网络协议,允许用户集中管理无线接入点。
发布时间:2021-09-27 19:07 | 阅读:46510 | 评论:0 | 标签:漏洞事件 DoS IOS XE 思科 漏洞 iOS ios

研究人员发现3个iOS 0 day漏洞PoC代码

研究人员发现3个iOS 0 day漏洞PoC代码。GitHub用户illusionofchaos在GitHub上发布了4个iOS 安全漏洞的PoC代码,其中包含3个0 day漏洞和1个已修复的安全漏洞。这4个
发布时间:2021-09-26 11:50 | 阅读:42288 | 评论:0 | 标签:漏洞 iOS ios

Apple修复iOS和macOS中已被利用的RCE;SonicWall修复SMA 100系列中的任意文件删除漏洞

#安全简讯 106 个内容 #攻击事件 48 个内容 #数据泄露 62 个内容 #政府指南 5 个内容 维他命安全简讯25星期六2021年09月【漏洞补丁】Apple发布更新,修复iOS?
发布时间:2021-09-25 16:31 | 阅读:48040 | 评论:0 | 标签:漏洞 iOS app mac ios RCE

9月24日每日安全热点 - 新的Nagios软件漏洞可能让黑客接管IT基础设施

robots漏洞 VulnerabilityCVE-2021-29923: Golang 标准库 net 漏洞安全更新security/SICK-2021-016.md at master · sickcodes/securityTenable.sc 针对 OpenSSL 的安全更新https://www.tenable.
发布时间:2021-09-24 11:42 | 阅读:44448 | 评论:0 | 标签:漏洞 iOS 黑客 ios 安全

网络管理产品Nagios的缺陷可能导致非常严重的供应链风险

工业网络安全公司Claroty的研究人员在Nagios广泛使用的网络管理产品中发现了近12个漏洞。这些缺陷可能会给组织带来严重的风险,因为这些类型的产品可能成为恶意攻击者的诱人目标。已发现影响Nagios XI、XI Switch Wizard、XI Docker Wizard和XI WatchGuard的11个安全漏洞。供应商在8月份发布了针对每个受影响产品的补丁。
发布时间:2021-09-23 08:21 | 阅读:45014 | 评论:0 | 标签:iOS ios 网络

Drupwn - drupal 信息收集工具

支持Drupal 7Drupal 8枚举https://asciinema.org/a/5InNWAotigwM4bRscUi7yKAtt开发https://asciinema.org/a/bZmopDt4lyix1D9sgxwQMCRfn执行方式        Drupwn 可以运行,使用两种不同的模式,即枚举和利用。枚举模式允许执行枚举,而利用模式允许检查和利用 CVE。
发布时间:2021-09-07 11:03 | 阅读:33706 | 评论:0 | 标签:iOS ios

地表最强:iOS安全黑宝书中文版来袭(赠书)

发布时间:2021-08-20 08:58 | 阅读:29438 | 评论:0 | 标签:iOS ios 安全

直击MOSEC | 漏洞中的“变形金刚”、远程破解安全机制,这些iOS风险该如何防范

“漏洞本身并不会造成危害,但可在黑客的不同命令下,变形成不同形态的漏洞,对系统带来极大的安全风险”;“PAC作为苹果近些年来引入的一种安全防护机制,大幅度提升了系统安全性,但我们仍然发现了一种方法,10秒钟就可以获取系统控制权限。”在2021MOSEC移动安全技术峰会现场,盘古实验室联合创始人王铁磊和赛博昆仑资深研究员招啟汛,分别介绍了他们关于iOS系统的安全研究成果。7月30日,由知名移动安全团队盘古实验室和韩国POC主办的2021MOSEC移动安全技术峰会在上海隆重举行。
发布时间:2021-07-30 17:14 | 阅读:32871 | 评论:0 | 标签:漏洞 iOS ios 远程 安全 破解

史上最详细的iOS之事件的传递和响应机制-原理篇

前言: 按照时间顺序,事件的生命周期是这样的:   事件的产生和传递(事件如何从父控件传递到子控件并寻找到最合适的view、寻找最合适的view的底层实现、拦截事件的处理)->找到最合适的view后事件的处理(touches方法的重写,也就是事件的响应) 其中重点和难点是:   1.如何寻找最合适的view   2.寻找最合适的view的底层实现(hitTest:withEvent:底层实现) (一)iOS中的事件 iOS中的事件可以分为3大类型: 触摸事件 加速计事件 远程控制事件 这里我们只讨论iOS中的触摸事件。
发布时间:2021-07-29 03:30 | 阅读:36008 | 评论:0 | 标签:iOS ios

Apple安全更新,修复iOS和macOS中已被利用的0day;希腊第二大城市Thessaloniki遭到攻击市政服务中断

#安全简讯 49 #分析报告 24 #勒索软件 28 维他命安全简讯27星期二2021年07月【漏洞补丁】Apple安全更新,修复iOS和macOS中已被利用的0day【勒索软件】希腊第?
发布时间:2021-07-27 12:00 | 阅读:40346 | 评论:0 | 标签:0day iOS app 攻击 mac ios 安全

WiFiDemon – iOS WiFi RCE 0-Day漏洞利用

近日,ZecOps安全研究人员发现了iOS WiFi命名漏洞的零交互攻击利用方式,可以用来远程劫持iPhone设备。Wi-Fi-DemonWifid 是处理与WiFi连接相关的协议的系统daemon。Wifid是以root 权限运行的。大多数处理函数都在CoreWiFi 框架中定义,而且这些服务无法在沙箱中访问。6月,研究人员Carl Schou发现wifid在处理SSID 时存在格式字符串问题。攻击者利用该wifid漏洞可以引发DoS攻击,禁用iPhone的WiFi功能和热点功能。
发布时间:2021-07-23 11:43 | 阅读:30695 | 评论:0 | 标签:漏洞 iOS ios RCE

苹果iOS漏洞登顶热搜背后:单价1600万欧元的隐私生意

前几天,一条关于#iPhone被曝存在安全隐患#的词条登顶了微博热搜,曝出iOS 14.6存在漏洞。如果感染了一款名叫Pegasus的恶意软件,就会被窃取隐私信息,甚至被控制摄像头和麦克风,引发了吃瓜群众的一片恐慌。我手机内存里的那点秘密还能守得住吗?我睡觉打呼噜的事情不会被黑客曝光吧?我在家的魔性舞步不会被发现吧?!别急,让黑客老路来给你侃侃这个事儿。我们先来捋捋这次漏洞剧本杀的“人物关系”:角色1-iOS 14.6:受害者,已被苹果证实确实存在这个漏洞。角色2-NSO Group:施暴者,以色列一家以间谍软件闻名的公司,被称为21世纪网络雇佣军。
发布时间:2021-07-23 08:59 | 阅读:50940 | 评论:0 | 标签:漏洞 iOS ios

iPhone被曝存在安全隐患,iOS 14.7最新版本疑似也受影响

7月20日,苹果发布了iOS 14.7更新版本,但随后苹果被曝存在安全漏洞,攻击者通过恶意软件就能窃取用户信息和邮件,且无需用户交互。事件一出,立马登上了微博热搜榜,足以见得该漏洞的严重性。据国外机构Amnesty International发布的报告显示,iPhone存在严重漏洞,攻击者可以入侵运行iOS 14.6系统的iPhone 12,但尚未明确iOS 14.7 系统中漏洞是否已经修复。NSO Group的Pegasus间谍软件通过iMessage零点击攻击可以成功感染iPhone 11和 iPhone 12机型,受影响的iPhone设备不计其数。
发布时间:2021-07-21 13:08 | 阅读:42238 | 评论:0 | 标签:iOS phone ios 安全

【安全资讯】事实证明,低风险的 iOS Wi-Fi 命名错误可以远程入侵 iPhone

点击上方蓝字“Ots安全”一起玩耍根据新的研究,被发现完全禁用 iPhone 网络功能的 Wi-Fi 网络名称错误具有远程代码执行功能,并在今年早些时候被 Apple 悄悄修复。上个月曝光的拒绝服务漏洞源于 iOS 处理与 SSID 输入相关的字符串格式的方式,在任何连接到无线接入点的最新 iPhone 上触发崩溃,其中包含百分比符号他们的名字,例如“%p%s%s%s%s%n”。
发布时间:2021-07-21 09:53 | 阅读:35863 | 评论:0 | 标签:iOS phone 入侵 ios 远程 安全

警惕!原来iOS Wi-Fi低风险命名漏洞也可以远程入侵iPhone手机

7月19日,最新研究发现,Wi-Fi网络名称漏洞可完全禁用iPhone网络功能,且可实施远程代码执行,但今年早些时候苹果公司已经悄悄修复。这个拒绝服务漏洞在上个月曝光,在iOS处理与SSID输入相关的字符串格式中被发现。这会导致任何连接到名称中带有百分号(如"%p%s%s%s%n")的无线接入点的最新版本iPhone出现崩溃现象。安全研究员Carl Schou发现了这个问题,他发现手机的Wi-Fi功能在加入一个名称为"%p%s%s%s%s%n "的不寻常的Wi-Fi网络后被永久禁用,即使在重启手机或改变网络名称(即服务集标识符或SSID)后也是如此。
发布时间:2021-07-20 10:45 | 阅读:40552 | 评论:0 | 标签:漏洞 iOS phone 入侵 ios 远程 手机

Google公开iOS、Chrome、IE 0day漏洞利用详情

7月14日,谷歌威胁情报研究人员对今年以来恶意攻击者攻击活动中使用的4个不同的在野漏洞利用进行了分析,漏洞影响Chrome、Safari、IE浏览器等。此外,4个漏洞中其中3个漏洞是被出售给了政府背景的黑客,因此很快出现在了现实攻击中。
发布时间:2021-07-16 11:30 | 阅读:35651 | 评论:0 | 标签:0day 漏洞 iOS ios Google

SolarWinds 黑客利用 iOS 零日漏洞渗透政府官员使用的 iPhone

谷歌威胁分析团队指出,在针对西欧政府官员的渗透活动中,SolarWinds 黑客利用了在旧版 iOS 系统中新发现的一个零日漏洞。周三的这份报告,披露本次攻击还利用了通过领英(LinkedIn)向政府官员发送的信息。若受害者在 iPhone 上访问了特定的链接,就会被重定向至带有初始恶意负载的域名。 在满足多项“验证检查”后,SolarWinds 黑客会利用 CVE-2021-1879 漏洞来下载最终的有效载荷,并将之用于绕过某些安全防护措施。 比如关闭同源防护策略(Same-Origin-Policy)、或其它能够防止恶意脚本在本地网络上搜集数据的安全功能。
发布时间:2021-07-16 00:05 | 阅读:38704 | 评论:0 | 标签:漏洞事件 SolarWinds 漏洞 iOS phone 渗透 黑客 ios

【iOS 原创】iOS视频广告游戏跳过

作者论坛账号:张艾伦iOS广告游戏视频跳过天天玩游戏,天天看广告。我表示不服,今天就拿我以前喜欢玩的一个游戏《小兵别嚣张》下手。准备工具Xc
发布时间:2021-07-09 19:42 | 阅读:74905 | 评论:0 | 标签:iOS ios

戴尔发布 BIOSConnect 安全漏洞修补程序 影响 3000 多万台设备

上周,MSPU 报道了戴尔远程 BIOS 更新软件正存在的一个漏洞,或导致多达 129 款不同型号的电脑遭遇中间人攻击。Eclypsium 研究人员解释称,该漏洞使得远程攻击者能够执行多款戴尔笔记本电脑的 BIOS 代码,进而控制设备的启动过程、并打破操作系统和更高层级的安全机制。 此外 Eclypsium 指出,受影响的设备数量超过了 3000 万台,并且涵盖了戴尔的消费级 / 商务本、台式机、以及平板电脑产品线。 至于问题的根源,其实出在戴尔 BIOS 更新软件 —— BIOSConnect 的身上。
发布时间:2021-06-30 23:12 | 阅读:49958 | 评论:0 | 标签:漏洞事件 戴尔 漏洞 iOS ios 安全

【06.26】安全帮®每日资讯:3000万台戴尔设备面临远程BIOS攻击风险;关键漏洞平均修复时间延长至205天

安全帮®每日资讯BIOS系统可被远程攻击,3000万台戴尔设备面临重大风险6月24日,安全研究人员披露了一系列戴尔终端BIOS系统中BIOSConnect功能所存在的漏洞,高权限攻击者可以利用这些漏洞,在目标设备的BIOS/UEFI上获得执行任意代码的能力。研究人员强调,攻击者能够在这套预启动环境下远程执行代码,对方完全有能力入侵操作系统并破坏设备的整体可信度。这类攻击能在设备上获得最高控制权限,攻击者将会积极尝试利用。
发布时间:2021-06-26 11:21 | 阅读:75764 | 评论:0 | 标签:漏洞 iOS 攻击 ios 远程 安全

赶快更新BIOS 戴尔电脑曝出漏洞:可被远程控制 3000万台中枪

关键词漏洞安全研究机构Eclypsium发现,戴尔的远程BIOS升级软件出现了一个严重漏洞,会导致攻击者劫持BIOS的下载请求,并使用经过修改的文件进行攻击。这会使得黑客可以控制系统的启动过程,破坏操作系统。出现问题的软件是BIOSConnect,它是戴尔的SupportAssistant的一部分,该软件预装在大多数戴尔的Windows设备上。多达3000万台设备,包括笔记本电脑、台式机和平板电脑都受到影响。戴尔的远程BIOS更新软件对中间人攻击开放,允许攻击者在多达129种不同型号的戴尔笔记本电脑的BIOS中远程执行代码。
发布时间:2021-06-26 00:38 | 阅读:45917 | 评论:0 | 标签:漏洞 iOS ios 远程 安全

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云