书名:黑客攻防技术宝典:iOS实战篇 作者:Charlie Miller Dionysus Blazakis Dino Dai Zovi Vincenzo Iozzo Stefan Esser Ralf - Philipp Weinmann 出版:人民邮电出版社
▍内容提要
《黑客攻防技术宝典:iOS实战篇》全面介绍iOS的安全性及工作原理,揭示了可能威胁iOS移动设备的所有安全风险和漏洞攻击程序,致力于打造一个更安全的平台。本书内容包括:iOS设备和iOS安全架构、iOS在企业中的应用(企业管理和服务提供)、加密敏感数据的处理、代码签名、沙盒的相关机制与处理、用模糊测试从默认iOS应用中查找漏洞、编写漏洞攻击程序、面向返回的程序设计(ROP)、iOS内核调试与漏洞审查、越狱工作原理与工具、基带处理器。
本书适合所有希望了解iOS设备工作原理的人学习参考,包括致力于以安全方式存储数据的应用开发人员、保障iOS设备安全的企业管理人员、从iOS中寻找瑕疵的安全研究人员,以及希望融入越狱社区者。
▍读者对象
本书是为所有希望了解iOS设备工作原理的人所写的。他们可以是希望融入越狱社区的人,也可以是试图了解如何以安全方式存储数据的应用开发人员,还可以是想要了解如何保障iOS设备安全的企业管理人员,或者尝试从iOS中寻找瑕疵的安全研究人员。
这些目标读者几乎都应该阅读和理解本书前面的章节。虽然后面的章节也都试着从基础知识开始介绍,但是理解这些内容至少能熟悉一些基本套路,比方说如何使用调试器和如何阅读代码清单等。
▍作者介绍
▲Charlie Miller:Accuvant Labs 首席研究顾问,曾在美国国家安全局担任全球网络漏洞攻击分析师 5 年,连续 4 年赢得 CanSecWest Pwn2Own 黑客大赛。发现了 iPhone 与 G1 安卓手机第一个公开的远程漏洞,通过短信对 iPhone 进行漏洞攻击,还发现了可让恶意软件进入 iOS 的代码签名机制缺陷。圣母大学博士,与人合著了《The Mac Hacker's Handbook》和《Fuzzing for Software Security Testing and Quality Assurance》。
▲Dionysus Blazakis:程序员和安全研究人员,擅长漏洞攻击缓解技术,常在安全会议上发表相关主题演讲,因利用即时编译器绕过数据执行保护的技术赢得 2010 年 Pwnie Award 最具创新研究奖。与 Charlie Miller 为参加 2011 年 Pwn2Own 大赛开发的 iOS 漏洞攻击程序赢得了 iPhone 漏洞攻击比赛的大奖。
▲Dino Dai Zovi:Trail of Bits 联合创始人和首席技术官,有十余年信息安全领域从业经验,做过红队、渗透测试、软件安全等多种工作。是信息安全会议的常客,在 DEFCON、BlackHat 和 CanSecWest 等会议上发表过对内存损坏利用技术等课题的独立研究成果。是《The Mac Hacker's Handbook》和《The Art of Software Security Testing》的合著者。
▲Vincenzo Iozzo:Tiqad srl 安全研究人员,BlackHat 和 Shakacon 安全会议评审委员会成员,常在 BlackHat 和 CanSecWest 等信息安全会议上发表演讲。与人合作为 BlackBerry OS 和 iPhone OS 编写了漏洞攻击程序,因 2010 年和 2011 年连续两届获得 Pwn2Own 比赛大奖在信息安全领域名声大振。
▲Stefan Esser:因在 PHP 安全方面的造诣为人熟知,2002 年成为 PHP 核心开发者,主要关注 PHP 和 PHP 应用程序漏洞的研究。2003 年利用 XBOX 字体加载器中存在的缓冲区溢出漏洞,成为从原厂 XBOX 的硬盘上直接引导 Linux 成功的第一人;2004 年成立 Hardened - PHP 项目;2007 年与人合办德国 Web 应用开发公司 SektionEins GmbH 并负责研发工作;2010 年起积极研究 iOS 安全问题,并在 2011 年提供了一个用于越狱的漏洞攻击程序。
▲Ralf - Philipp Weinmann:德国达姆施塔特工业大学密码学博士、卢森堡大学博士后研究员。研究方向涉及密码学、移动设备安全等众多主题,参与过让 WEP 破解剧烈提速的项目、分析苹果的 FileVault 加密、擅长逆向工程技术、攻破 DECT 中的专属加密算法,以及成功通过智能手机的 Web 浏览器(Pwn2Own)和 GSM 协议栈进行渗透攻击。