iOS Application Security
The Definitive Guide for Hackers and Developers
David Thiel sur attaquer et défendre les apps iOS : sandbox plateforme, surfaces IPC, sémantique keychain, sécurité du transport et les patterns qui introduisent de vrais bugs.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- David Thiel
- Publié
- 2016
- Éditeur
- No Starch Press
- Pages
- 296
- Langue
- English
À lire si
Pentesters sécurité mobile et développeurs iOS qui ont besoin d'un guide pratique sur la surface de sécurité de la plateforme. Thiel couvre le sandbox, le Keychain, le runtime, le code signing et la classe typique d'erreurs que les apps iOS expédient.
À éviter si
Lecteurs voulant les spécificités iOS actuelles (post-2018). Le livre précède des changements significatifs de la plateforme Apple (App Tracking Transparency, modèle d'entitlement moderne, modern keychain access groups) ; les principes se transfèrent, les spécificités non.
Points clés
- La plupart des vulnérabilités d'apps iOS sont au niveau app, pas au niveau plateforme ; le cadrage du livre s'aligne avec ce que les vrais pentests trouvent.
- L'usage incorrect de keychain et le stockage non sécurisé sont encore les findings dominants sur les vrais engagements ; le chapitre du livre là-dessus est le cœur pratique.
- Frida et Objection ont largement remplacé le tooling d'introspection runtime plus ancien décrit ici ; le workflow se traduit, les outils ont évolué.
Notes
À coupler avec l'OWASP Mobile Application Security Testing Guide pour le tooling actuel et avec l'iOS Hacker's Handbook (Miller et al.) pour les internals plateforme plus profonds. Pour les pentests iOS ère 2026, complétez fortement avec la documentation Apple actuelle et les ressources Frida-cookbook.
Que lire avant
Que lire avant iOS Application Security →Intermédiaire · 2015
The Mobile Application Hacker's Handbook
La référence de Chell, Erasmus, Colley et Whitehouse sur la sécurité applicative iOS et Android du début-mi 2010s — runtime hooking, sécurité du transport, abus IPC et la surface plateforme-spécifique du pentest mobile.
Débutant · 2020
Alice and Bob Learn Application Security
Le primer AppSec hands-on de Tanya Janca couvrant threat modeling, design sécurisé, code sécurisé, tests, déploiement et le côté social de la conduite d'un programme AppSec — à travers une structure narrative et amicale.
Débutant · 2020
Web Security for Developers
Le primer côté développeur de Malcolm McDonald sur les problèmes classe OWASP, cadré autour de vraies attaques et défendu avec des patterns de code plutôt qu'avec des produits vendor.
Que lire ensuite
Que lire après iOS Application Security →Intermédiaire · 2015
The Mobile Application Hacker's Handbook
La référence de Chell, Erasmus, Colley et Whitehouse sur la sécurité applicative iOS et Android du début-mi 2010s — runtime hooking, sécurité du transport, abus IPC et la surface plateforme-spécifique du pentest mobile.
Avancé · 2006
The Art of Software Security Assessment
Référence de 1200 pages sur l'audit de codes C/C++ pour la sécurité : interactions mémoire et entiers complexes, pièges du langage, et comment les vulnérabilités émergent à la frontière entre couches.
Avancé · 2011
The Tangled Web
Le livre le plus profond jamais écrit sur le modèle de sécurité étrange et accumulé du navigateur web.
Explorer des livres similaires
Alternatives à iOS Application Security →Intermédiaire · 2015
The Mobile Application Hacker's Handbook
La référence de Chell, Erasmus, Colley et Whitehouse sur la sécurité applicative iOS et Android du début-mi 2010s — runtime hooking, sécurité du transport, abus IPC et la surface plateforme-spécifique du pentest mobile.
Intermédiaire · 2021
Real-World Cryptography
Tour pratique de David Wong des primitives, protocoles et pièges cryptographiques qui apparaissent réellement en production, avec une attention assumée à TLS, Noise, AEAD modernes, et post-quantique.
Intermédiaire · 2021
Designing Secure Software
Loren Kohnfelder, l'auteur PKI original, sur comment tisser la pensée sécurité à travers exigences, design, implémentation et opérations plutôt que de la boulonner à la fin.