Standardy i zgodność
Bash
Słownik
Linki

Standardy i zgodność
Bash cheatsheet
Słownik
Linki
Bezpieczeństwo systemów
Bezpieczeństwo sieci
Bezpieczeństwo aplikacji
Bezpieczeństwo mobilne
Bezpieczeństwo w chmurze
Bezpieczeństwo AI/ML
Bezpieczeństwo CI/CD
Bezpieczeństwo informacji
Kryptografia
Malware & reverse
OSINT

Podstawy

Wytyczne
Certyfikacje
Zasady bezpieczeństwa aplikacji
Podatności (Top 10)
Etapy procesu testowania
Typy aplikacji mobilnych
Narzędzia
Struktury plików i pakietów (iOS, Adnroid)
Manipulacja i inżynieria wsteczna

Android

Root
Konfiguracja środowiska
Checklist APK
Przykład scenariusza testowego

Przykłady testów Android

Statyczna analiza APK
Dynamiczna analiza (Frida, Burp)
Network security (Pinning, tokeny)
Local storage (SharedPrefs, DB)

iOS

iOS Boot Process
System ochrony danych
Jailbrake
Konfiguracja środowiska
Checklist IPA
Przykład scenariusza testowego

Przykłady testów iOS

Statyczna analiza IPA
Dynamiczna analiza (hooki, runtime)
Network security (ATS, pinning)
Local storage (Keychain, NSUserDefaults)

Zaloguj się

iOS

Checklist IPA dla iOS

Checklist IPA dla iOS to zestaw praktycznych kroków, które pomagają przeanalizować bezpieczeństwo aplikacji iOS. Dzięki tej liście można sprawdzić, gdzie aplikacja może zapisywać wrażliwe dane, jak obsługuje szyfrowanie, komunikację sieciową i funkcje systemowe. Checklist jest przydatny podczas testów bezpieczeństwa, aby upewnić się, że aplikacja nie zostawia poufnych informacji w pamięci telefonu, logach, backupach czy schowku, a także że nie używa słabych algorytmów szyfrowania i bezpiecznie korzysta z WebView czy mechanizmów uwierzytelniania.

Przechowywanie danych

Sprawdź, czy aplikacja zapisuje poufne dane w plikach Plist, Core Data (SQLite), YapDatabases, Realm, Couchbase Lite, ciasteczkach binarnych, cache lub automatycznych zrzutach ekranu.

Przechowywanie danych

Sprawdź, czy Keychain nie zawiera poufnych danych po sprzedaży telefonu.

Przechowywanie danych

Ogólnie sprawdź, czy aplikacja nie przechowuje poufnych danych w systemie plików.

Klawiatury

Czy aplikacja pozwala na korzystanie z niestandardowych klawiatur?

Klawiatury

Sprawdź, czy klawiatury nie zapisują poufnych danych w cache.

Logi

Sprawdź, czy aplikacja nie zapisuje poufnych danych w logach.

Backupy

Backupy mogą zawierać poufne dane z systemu plików. Zmodyfikowane backupy mogą umożliwić ominięcie niektórych funkcji bezpieczeństwa.

Pamięć aplikacji

Sprawdź, czy w pamięci aplikacji znajdują się poufne dane.

Słabe szyfrowanie

Czy możesz znaleźć hasła używane w kryptografii? Czy aplikacja używa przestarzałych lub słabych algorytmów szyfrowania? Monitoruj wywołania funkcji kryptograficznych.

Lokalna autoryzacja

Sprawdź, jak działa lokalna autoryzacja (np. Local Authentication Framework — może być łatwo obejść). Jeśli użyto funkcji możliwej do obejścia dynamicznie, np. za pomocą Frida — przygotuj własny test.

IPC i linki

Sprawdź niestandardowe URI, deeplinki, custom schemes: Czy przyjmują poufne dane? Czy dane wejściowe są weryfikowane? Czy pozwalają na wywołanie poufnych akcji z innych aplikacji? Sprawdź Universal Links oraz plik apple-app-site-association.

UIActivity Sharing

Sprawdź, czy aplikacja obsługuje UIActivities i czy można wykorzystać je w ataku.

UIPasteboard

Sprawdź, czy aplikacja kopiuje dane do schowka. Sprawdź, czy wykorzystuje dane ze schowka w sposób bezpieczny. Monitoruj schowek pod kątem kopiowania poufnych danych.

App Extensions

Sprawdź, czy aplikacja korzysta z rozszerzeń i jak są wykorzystywane.

WebViews

Jakie WebView są używane? Czy włączone są ustawienia: javaScriptEnabled, JavaScriptCanOpenWindowsAutomatically? Czy WebView może uzyskać dostęp do lokalnych plików (file://)? Czy JavaScript może wywoływać metody natywne?

Komunikacja sieciowa

Wykonaj test MitM i sprawdź aplikację pod kątem podatności webowych. Czy sprawdzany jest hostname certyfikatu SSL/TLS? Sprawdź lub obejdź certificate pinning.

Inne

Sprawdź automatyczne mechanizmy patchowania/aktualizacji. Sprawdź obecność złośliwych bibliotek zewnętrznych.

References

https://book.hacktricks.wiki/en/mobile-pentesting/ios-pentesting-checklist.html
https://mas.owasp.org/MASTG/iOS/0x06d-Testing-Data-Storage
https://github.com/OWASP/owasp-mastg/blob/master/Document/0x06h-Testing-Platform-Interaction.md
https://mas.owasp.org/MASTG/tests/ios/MASVS-PLATFORM/MASTG-TEST-0069/
https://mas.owasp.org/MASTG/iOS/0x06h-Testing-Platform-Interaction/

© Copyright 2026. All rights reserved.

Follow us on X Follow us on GitHub Join our Discord server