在已弃用的 NSURLConnectionDelegate 上报告了 MITM 攻击

Question

我有一个 Objective-C 项目，其 .ipa 已使用此工具在线测试：https://www.immuniweb.com/mobile

它报告我的应用存在高风险安全问题，指向NSURLConnectionDelegate 协议中的canAuthenticateAgainstProtectionSpace。

iOS 8.0 版本后已弃用此方法。我的应用程序没有在任何地方直接使用它，我想苹果也没有间接使用它，因为它已被弃用。

我用Objective-C 项目尝试了一个示例ipa（其中没有任何内容的新项目），同样的问题也出现了。但它不是针对支持Swift 的示例ipa。即使这只是一个警告，除了只支持 Swift 语言之外，还有其他方法可以解决吗？

Answer 1

TBH 如果您的任何库或框架没有在内部使用它，这似乎是 tool 中的一个错误。

在您对示例 Objective C 项目的测试中，它被报告为错误，但是对于示例 swift 项目，它没有被报告，因此我想这更多是工具方面的错误。

我建议你向他们报告这个问题。希望他们会给你一些建议。

或

您也可以尝试一些其他的渗透测试工具。

Answer 2

该工具检测到定义NSURLConnectionDelegate 协议的.h 文件声明了canAuthenticateAgainstProtectionSpace 函数。这当然是意料之中的。

工具报告方法的实现会更有意义，而不仅仅是声明

由于您尚未实施此方法，因此您无需担心实施中的缺陷。

至于解决问题...不使用该工具？基于此，它似乎不太好。

是否有选项告诉它不要扫描 .h 文件？