已棄用的 NSURLConnectionDelegate 報告了 MITM 攻擊

Question

我有一個 Objective-C 項目，其 .ipa 已使用此工具在線測試： https : //www.immuniweb.com/mobile

它報告我的應用程序存在高風險安全問題，指向NSURLConnectionDelegate協議中的canAuthenticateAgainstProtectionSpace 。

此方法在 8.0 版本后已被 iOS 棄用。 我的應用程序沒有直接在任何地方使用它，我想這甚至不會被蘋果間接使用，因為它已被棄用。

我在Objective-C項目中嘗試了一個示例 ipa（沒有任何內容的新項目），同樣的問題也出現了。 但它不是用於支持Swift的示例 ipa 。 即使這只是一個警告，除了僅支持 Swift 語言之外，還有其他方法可以解決嗎？

Answer 1

該工具檢測到定義NSURLConnectionDelegate協議的 .h 文件聲明了canAuthenticateAgainstProtectionSpace函數。 這當然是可以預料的。

該工具報告方法的實現會更有意義，而不僅僅是它的聲明

由於您尚未實現此方法，因此您無需擔心實現中的缺陷。

至於擺脫這個問題......不要使用該工具？ 基於此，它似乎不太好。

是否可以選擇告訴它不掃描 .h 文件？

Answer 2

TBH 如果您的任何庫或框架內部都沒有使用它，那么它似乎是該工具中的一個錯誤。

在您對示例目標 C 項目的測試中，它被報告為錯誤，但是對於示例 swift 項目，它沒有被報告因此我猜它更多是來自工具方面的錯誤。

我建議你向他們報告這個問題。希望他們能給你一些建議。

或者

您也可以嘗試其他一些滲透測試工具。