如何避免硬编码密钥进行加密（目标 C）？

2024-04-24

在我的 Objective C 代码中，我在代码中硬编码了一个消费者密钥和秘密，以用于 SHA-1 加密。我想知道是否可以避免硬编码以提高安全性。到目前为止我发现了以下内容，

发现1 https://www.owasp.org/index.php/Technical_Risks_of_Reverse_Engineering_and_Unauthorized_Code_Modification#Cryptographic_Key_Replacement https://www.owasp.org/index.php/Technical_Risks_of_Reverse_Engineering_and_Unauthorized_Code_Modification#Cryptographic_Key_Replacement步骤解释如下，

损坏源代码中声明的静态密钥。此类密钥在磁盘上时应被损坏，以防止对手分析和拦截原始密钥；
接下来，应用程序应该在需要该密钥的代码使用该密钥之前修复该密钥；
在使用密钥之前，应用程序应该对密钥的值执行校验和，以验证未损坏的密钥与代码在构建时声明的值相匹配；和
最后，在应用程序完成该特定调用的使用后，应用程序应立即重新损坏内存中的密钥。

发现2 https://github.com/UrbanApps/UAObfuscatedString https://github.com/UrbanApps/UAObfuscatedString

有人可以帮我吗？

示例代码：

+ (NSString *) getOauthHeaderForRequestString:(NSString *)requestString {

NSString *oauthConsumerKey = @"<consumer key which I want avoid hardcoding>";
NSString *oauthConsumerSecret = @"<consumer secret which I want to avoid hardcoding>";
NSString *oauthSignatureMethod = @"HMAC-SHA1";
NSString *oauthVersion = @"1.0";

NSString *oauthNonce = [self generateNonce];
NSString *oauthtimestamp = [NSString stringWithFormat:@"%d", (int)[[NSDate date] timeIntervalSince1970]];

NSArray * params = [NSArray arrayWithObjects:
                    [NSString stringWithFormat:@"%@%%3D%@", @"oauth_consumer_key", oauthConsumerKey],
                    [NSString stringWithFormat:@"%@%%3D%@", @"oauth_nonce", oauthNonce],
                    [NSString stringWithFormat:@"%@%%3D%@", @"oauth_signature_method", oauthSignatureMethod],
                    [NSString stringWithFormat:@"%@%%3D%@", @"oauth_timestamp", oauthtimestamp],
                    [NSString stringWithFormat:@"%@%%3D%@", @"oauth_version", oauthVersion],
                    [NSString stringWithFormat:@"%@%%3D%@", @"request", [requestString stringByAddingPercentEscapesUsingEncoding:NSUTF8StringEncoding]],
                    nil];

params = [params sortedArrayUsingSelector:@selector(compare:)];
NSString *parameters = [params componentsJoinedByString:@"%26"];

NSString *postURL = @"<my post url>";

NSArray * baseComponents = [NSArray arrayWithObjects:
                            @"POST",
                            [self encodeString:postURL],
                            parameters,
                            nil];
NSString * baseString = [baseComponents componentsJoinedByString:@"&"];

NSArray *signingKeyComponents = [NSArray arrayWithObjects:oauthConsumerSecret, @"", nil];
NSString *signingKey = [signingKeyComponents componentsJoinedByString:@"&"];

NSData *signingKeyData = [signingKey dataUsingEncoding:NSUTF8StringEncoding];
NSData *baseData = [baseString dataUsingEncoding:NSUTF8StringEncoding];

uint8_t digest[20] = {0};
CCHmac(kCCHmacAlgSHA1, signingKeyData.bytes, signingKeyData.length, baseData.bytes, baseData.length, digest);

NSData *signatureData = [NSData dataWithBytes:digest length:20];

NSString *oauthSignature = [self base64forData:signatureData];

// final request build
NSString *oauthHeader = @"OAuth ";
oauthHeader = [oauthHeader stringByAppendingFormat:@"oauth_consumer_key=\"%@\"",oauthConsumerKey];
oauthHeader = [oauthHeader stringByAppendingFormat:@",oauth_nonce=\"%@\"",oauthNonce];
oauthHeader = [oauthHeader stringByAppendingFormat:@",oauth_signature=\"%@\"",[self encodeString:oauthSignature]];
oauthHeader = [oauthHeader stringByAppendingFormat:@",oauth_signature_method=\"%@\"",oauthSignatureMethod];
oauthHeader = [oauthHeader stringByAppendingFormat:@",oauth_timestamp=\"%@\"",oauthtimestamp];
oauthHeader = [oauthHeader stringByAppendingFormat:@",oauth_version=\"1.0\""];

return oauthHeader;
}

我写过关于之前解决这个问题的挑战 https://stackoverflow.com/questions/9401315/ios-5-how-to-encrypt-property-list-in-the-bundle，但我想用你的来演示一下UAObfuscatedString想法，因为我认为这是大多数人正在寻找的解决方案，但比没有更糟糕。需要注意的是：我并不是特别擅长这一点。我不是一位经验丰富的逆向工程师，商业系统远远超出了我的技能范围。我只是一个有Hopper https://www.hopperapp.com以及实际上五分钟的逆向工程工作（我运行了一个计时器；5:35 秒，包括升级 Hopper，因为我已经几个月没有运行它了）。

所以，我写了一个iOS程序UAObfuscatedString。我使用 Swift 是因为 Swift 通常比 ObjC 更难进行逆向工程。ObjC 是逆向工程师的梦想。 http://robnapier.net/obfuscating-cocoa

let identifier = "c".o.m.dot.u.r.b.a.n.a.p.p.s.dot.e.x.a.m.p.l.e

func application(_ application: UIApplication, didFinishLaunchingWithOptions launchOptions: [UIApplicationLaunchOptionsKey: Any]?) -> Bool {
    print(identifier)
    return true
}

然后我将其存档，因此它是优化的代码等，就像您发送到应用程序商店一样。然后我将其加载到 Hopper 中并查看应用程序委托的init。这就是常量初始化的地方，基于大多数人将这些东西放在他们的应用程序委托中的假设。显然，如果我看到一个名为KeyStorage or SecretStuffHelper，我先看看那里......

void * -[_TtC13ObfuscateTest11AppDelegate init](void * self, void * _cmd) {
    *(r31 + 0xffffffffffffffe0) = r20;
    *(0xfffffffffffffff0 + r31) = r19;
    *(r31 + 0xfffffffffffffff0) = r29;
    *(r31 + 0x0) = r30;
    r0 = sub_100005e14();
    return r0;
}

嗯，它调用这个匿名函数sub_100005e14()。让我们看看它有什么作用。

...
0000000100005e38         adr        x0, #0x100006859                            ; "c"
...
0000000100005e48         bl         imp___stubs___T0SS18UAObfuscatedStringE1oSSfg
...
0000000100005e50         bl         imp___stubs___T0SS18UAObfuscatedStringE1mSSfg
...
0000000100005e74         bl         imp___stubs___T0SS18UAObfuscatedStringE3dotSSfg
...
0000000100005e98         bl         imp___stubs___T0SS18UAObfuscatedStringE1uSSfg
...
0000000100005ebc         bl         imp___stubs___T0SS18UAObfuscatedStringE1rSSfg
...
0000000100005ee0         bl         imp___stubs___T0SS18UAObfuscatedStringE1bSSfg
...
0000000100005f04         bl         imp___stubs___T0SS18UAObfuscatedStringE1aSSfg
...
0000000100005f28         bl         imp___stubs___T0SS18UAObfuscatedStringE1nSSfg
...
0000000100005f4c         bl         imp___stubs___T0SS18UAObfuscatedStringE1aSSfg
...
0000000100005f70         bl         imp___stubs___T0SS18UAObfuscatedStringE1pSSfg
...
0000000100005f94         bl         imp___stubs___T0SS18UAObfuscatedStringE1pSSfg
...
0000000100005fb8         bl         imp___stubs___T0SS18UAObfuscatedStringE1sSSfg
...
0000000100005fdc         bl         imp___stubs___T0SS18UAObfuscatedStringE3dotSSfg
...
0000000100006000         bl         imp___stubs___T0SS18UAObfuscatedStringE1eSSfg
...
0000000100006024         bl         imp___stubs___T0SS18UAObfuscatedStringE1xSSfg
...
0000000100006048         bl         imp___stubs___T0SS18UAObfuscatedStringE1aSSfg
...
000000010000606c         bl         imp___stubs___T0SS18UAObfuscatedStringE1mSSfg
...
0000000100006090         bl         imp___stubs___T0SS18UAObfuscatedStringE1pSSfg
...
00000001000060b4         bl         imp___stubs___T0SS18UAObfuscatedStringE1lSSfg
...
00000001000060d8          bl         imp___stubs___T0SS18UAObfuscatedStringE1eSSfg

我不确定为什么 Swift demangler 在这里不起作用，但无论如何，我们可以轻松地看到该模式：

_T0SS18UAObfuscatedStringE1oSSfg => o
_T0SS18UAObfuscatedStringE1mSSfg => m
_T0SS18UAObfuscatedStringE3dotSSfg => dot => .
_T0SS18UAObfuscatedStringE1uSSfg => u
...

意识到有这些USObfuscatedString方法，我搜索它并在应用程序中找到使用混淆字符串的所有地方。如果我愿意稍微改进一下我的游戏并花一天左右的时间玩它，我可能可以编写一个工具来自动提取每个UAObfuscatedString只是使用otool和二进制文件。

这就是深刻的教训。您刚刚标记了所有要隐藏的字符串。一旦我意识到UAObfuscatedString是一件事，你刚刚做到了easier以便我找到您的敏感信息。从字面上看，这比没有更糟糕。您唯一的希望是攻击者不知道它的存在。这就是混淆的问题，也是混淆与安全的区别。

我还想强调，我花了 5 分 35 秒来攻击这个程序。是的，我基本上知道我在寻找什么样的东西，但我也没有这方面的技能。如果UAObfuscatedString如果要变得流行，我向您保证，自动检测/反混淆工具将成为每个 script-kiddie 工具箱的一部分（“script-kiddie”是安全人员对不知道自己在做什么的攻击者的称呼，并且只需使用其他人编写的自动化工具）。

这里的教训是，如果你想混淆，你最好自己编一些随机的方法。它不会有效，但它可能不会像大多数自由和开源软件解决方案那样对您的目标产生积极的损害。 “免费和开源”对于安全来说可能非常有好处，但对于默默无闻来说却是最糟糕的事情。

如果隐藏信息对您的业务计划确实很重要，并且您无法更改您的业务计划，那么您应该期望在这个问题上花费大量资金，并聘请一个致力于不断发展您的混淆系统的团队，以保持领先地位。攻击者会适应您构建的任何内容。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

如何避免硬编码密钥进行加密（目标 C）？的相关文章

从 Plist 中存储和检索 [重复]

这个问题在这里已经有答案了可能的重复 iOS 在 plist 文件中存储两个 NSMutableArray https stackoverflow com questions 6070568 ios store two nsmutable
iPhone，使用 isKindOfClass 是否被认为是不好的做法？

例如如果有一个处理所有类型的方法 if obj isKindOfClass class1 else if obj isKindOfClass class2 etc 这是不好的做法吗是否有更简洁的替代方案或更好的方法来构建代码在运行
使用 UIActionSheet 更改视图时工具栏项目消失

当从 a 启动视图时UIActionSheet按钮通过导航栏后退按钮返回视图后工具栏虽然仍然可见但上面没有任何以前的按钮自从更新到 iOS 6 以来这个错误就出现了并且是在模拟器和仅运行 iOS 6 的设备上测试时发生的如果我
iOS 开发： [[self navigationController] viewControllers]; 有哪些原因？会返回零吗？

以下语句返回零 NSArray viewControllersInNavStack self navigationController viewControllers 这个语句是在导航堆栈中大约四层深度的视图控制器中调用的所以我不明白它如
使用隐藏的 SFSafariViewController 获取 Safari cookie

我正在阅读以下关于从移动网页到本机 iOS 9 应用程序对用户进行身份验证的文章并且想知道如何最好地实现类似于下面讨论的隐藏控制器的隐藏 safari 视图控制器 https library launchkit io how ios 9
iOS：从非图像数据生成图像（Godus，如风景）

所以看到图像后Godus http www kickstarter com projects 22cans project godus我想知道如何生成简单的非交互式的 2D 图像 with 不同高度或层数的颜色不同就像下面的图片一样我只
如何从 NSString 中删除十六进制字符

我面临一个与字符串中的某些十六进制值相关的问题我需要从字符串中删除十六进制字符 The problem is when i print object it prints as BLANK line And in debug mode it
切换到工作区并在 Xcode 中添加 CocoaPods 后提交 git 吗？

我刚刚在 Xcode 5 中将 CocoaPods 添加到我当前的项目中当然 CocoaPods 创建了一个工作区并且我已在 Xcode 中启动了该工作区我在工作区中看到了我的项目和 Pods 项目我的项目从第一天起就处于源代码控制
从 RemoteIO 保存音频的示例？

我进行了搜索但没有找到任何从 RemoteIO 音频单元保存音频的好示例或教程我的设置使用 MusicPlayer API 我有几个 AUSamplers gt MixerUnit gt RemoteIO 音频播放效果很好我想添加将
更改 UITextField 辅助功能描述

有没有办法将 UITextField 的辅助功能标签设置为文本字段之外的其他内容因此我不想将其称为文本字段而是将其命名为代码验证字段我的建议是不要试图在内置语音输出上智取系统对于盲人用户来说文本字段正在编辑相当于该项
如何使用自签名证书为 TLS 创建 iOS NWConnection？

我正在尝试将 Apple 的新 NWConnection 类用于我的 MQTT 客户端为了进行测试我需要能够创建到本地测试代理的 TLS 连接该代理具有自签名证书到目前为止我只是使用以下命令设置连接 self connection
在WKWebview中设置useragent

如何在 WKWebView 中设置自定义用户代理字符串我正在尝试嵌入我的应用程序的版本以便我的服务器端可以看到可用的功能我找到了以下方法 let userAgent MyApp 1 33 7 request setValue user
从 NSError 返回 NSString

我正在使用NSURLRequest我的 iPhone 应用程序中的类调用它的方法返回一个NSString这对于连接正常时非常有用但问题是我需要将 NSError 转换为 NSString 以便我可以将其返回或运行一些if 对此的声明有
如何在ios中以编程方式添加水平间距和垂直间距？

我在 ios 8 中创建了一个应用程序因为我有 4 个可垂直使用的标签它应该在某些条件下更改位置所以我已禁用自动布局并以编程方式设置约束现在的问题是我可以设置水平和垂直位置宽度和高度的约束但我找不到任何方法来添加标签之间的水平
增加 NSData 的长度

基本上我有一个 46 个字符的 NSString 我将其转换为 NSData 我需要将字符串填充到 48 个字符仅在 NSString 末尾添加是行不通的所以我只是使用以下方法增加了 NSData 的长度 NSString str
为什么 GDB 调试器不断冻结 Xcode 4？

这真是一个奇怪的错误我正在开发一个使用相机源的 iPhone 项目并通过 OpenGL 着色器运行它以对其应用效果然而每次我在代码中简单地创建一个新的 GLfloat 时调试器都会在启动时冻结我无法复制和粘贴文本因为整个 XC
你能给我一个会话固定攻击的例子吗？

我读过有关会话固定的内容据我了解它强制用户使用攻击者的会话它是否正确你能举个例子来说明这会如何冒犯用户吗我通常不喜欢发布维基百科的链接但这里有一个链接维基百科上有很好的解释 http en wikipedia org wiki
如何更改锁屏自定义文本（所有者信息）？

我写了程序代码 String message This is test Settings System putString context getContentResolver Settings Secure LOCK PATTERN EN
如何自动为 Swift 类创建初始化程序？

UPDATE 使用结构而不是类 struct 在很多方面都更好它有自己的初始化器这是我的模型课是否有可能创建init自动方法每次我都必须将所有变量一一初始化这会花费很多时间 class Profile var id String
如何在内存中存储分子？

我想将分子存储在内存中这些可以是简单的分子 Methane CH4 C H bond length 108 7 pm H H angle 109 degrees But also more complex molecules like p

随机推荐

如何使用 java.lang.Process 类向另一个进程提供输入

假设有一个程序从标准输入中获取输入例如 cin gt gt id 我想弄清楚的是如何执行该流程并向其标准输入提供一些输入获取过程的输出对我来说不是问题它工作正常问题是如何使用以下方法为此类流程提供输入 java lang Proce
Laravel 5.2 分割字符串名字姓氏

我有一个从全名表单传递的字符串在我的数据库中我存储名字和姓氏我使用以下方法分割了字符串 name explode request gt name lastname array pop name firstname implode na
将 InputStream 转换为固定长度字符串的 Stream

Like in 将 InputStream 转换为给定字符集的 Stream https stackoverflow com questions 30336257 convert inputstream into streamstring
将我的浏览器添加到 Android 的默认浏览器选择列表中？

遵循以下建议如何将我的浏览器添加到 Android 的默认浏览器选择列表中 https stackoverflow com questions 7394369 how to add my browser in the default bro
JPA EntityManager 是否有无状态版本？

休眠有一个会话的无状态版本 https docs jboss org hibernate orm 3 5 api org hibernate StatelessSession html JPA EntityManager 是否存在类似的东西
惰性记录器消息字符串评估

我在 python 应用程序中使用标准 python 日志记录模块 import logging logging basicConfig level logging INFO logger logging getLogger log whi
当 UIWebView 尝试阻塞锁定 Web 线程时，避免主线程冻结

所有 UIWebView 共享一个 Web 线程当其中之一是init ed 从超级视图等中删除它们将尝试以阻塞方式从主线程锁定 Web 线程从而暂时冻结主线程的运行循环如果网络线程繁忙例如在进行长同步时XMLHttpRequest
SQL - 是否有更好的方法将用于 where 子句的键列表传递到存储过程中？

这是场景我有一个清单客户ID 1 2 3 具有相关性OrderIds 我有一个存储过程Delete OrdersByCustomerIds 删除与该订单相关的所有订单客户ID指定的目前我这样做的方法是将客户ID转换为字符串即 1 2
Git 致命：参考格式无效：'refs/heads/master

我在用Dropbox同步git存储库但现在当我尝试push我收到错误 fatal Reference has invalid format refs heads master MacBook Pro s conflicted copy 2
如何从 Google Colab 笔记本运行“.py”文件中的 Python 脚本？

javascript IPython OutputArea prototype should scroll function lines return false run rl base py 我运行此错误提示 rl base py 文件
Cordova 通知插件安装失败（Cordova 3.6）

我已经将项目从 Cordova 3 4 更新到 3 6 3 但一切都崩溃了像往常一样但具体来说这里org apache cordova dialogs插件在 ios 上运行时无法工作 Cordova 表示插件已安装 cordova p
kotlin-stdlib-jre7 已弃用。请改用 kotlin-stdlib-jdk7

昨天我更新了Android Studio版本和Kotlin插件版本 Android Studio版本 3 1 2 Kotlin 版本 1 2 41 当我使用此配置创建 Android 项目时我收到 Kotlin 编译器警告 w home
访问被拒绝查找属性 ro.vendor.hwui.texture_cache_size

在启动活动时我收到此错误 Access denied finding property ro vendor hwui texture cache size 在 Android OREO 之前一切都工作正常但在 Android Pie 中却
如何在android中一次完成多个活动？

我的活动流程如下活动 A gt 活动 B gt 活动 C gt 活动 D 当用户位于活动 D 上并单击名为退出的按钮时应用程序应返回到活动 B 并完成活动 C 并D 我该怎么做注意活动 B 和活动 D 是相同的类但不同的实例
Seaborn 用直方图绘制分布图，其中 stat = 密度或概率？

我知道默认情况下直方图方法是计算出现次数相反我们可以用密度或概率来可视化分布 sns displot data stat density or sns displot data stat probability 我的问题是我应该使用
如何设置USB连接模式？

我正在编写一个应用程序该应用程序应该将数据转储到 SD 卡上然后在 PC 上编写另一个应用程序当设备连接到 PC 时在光盘驱动器模式下该应用程序应该读取数据在我的 HTC Legend 上有一个对话框可供选择仅充电 HTC
Rails：检索嵌套数据时出错

我尝试模拟一个系统其中学生在与练习相关的盒子中工作 class Student lt ActiveRecord Base belongs to box class Box lt ActiveRecord Base belongs to p
WPF可编辑组合框IsFocused问题

我正在开发一个带水印的ComboBox通过修改ComboBox ControlTemplate 当一切都很好ComboBox不处于可编辑模式但是当我将编辑模式更改为 True 时 IsFocused属性永远不会设置为 True 这是因为在
为什么复制 eval 会改变它的行为？

根据rollupjs 文档 https rollupjs org guide en eval2 eval 简单地复制 eval 为您提供了一个执行完全相同操作的函数但该函数在全局范围而不是本地范围内运行 var eval2 eval f
如何避免硬编码密钥进行加密（目标 C）？

在我的 Objective C 代码中我在代码中硬编码了一个消费者密钥和秘密以用于 SHA 1 加密我想知道是否可以避免硬编码以提高安全性到目前为止我发现了以下内容发现1 https www owasp org index php

如何避免硬编码密钥进行加密（目标 C）？

如何避免硬编码密钥进行加密（目标 C）？ 的相关文章

随机推荐

热门标签

如何避免硬编码密钥进行加密（目标 C）？的相关文章