证书锁定Certificate Pinning技术

最新推荐文章于 2023-10-27 16:33:34 发布
最新推荐文章于 2023-10-27 16:33:34 发布
阅读量821 收藏
点赞数 2
证书锁定Certificate Pinning技术

在中间人攻击中,攻击主机通常截断客户端和服务器的加密通信。攻击机以自己的证书替代服务器发给客户端的证书。通常,客户端不会验证该证书,直接接受该证书,从而建立起和攻击机的安全连接。这样,客户端发送的数据,都会被攻击机获取和解密。

证书锁定Certificate Pinning是SSL/TLS加密的额外保证手段。它会将服务器的证书公钥预先保存在客户端。在建立安全连接的过程中,客户端会将预置的公钥和接受的证书做比较。如果一致,就建立连接,否则就拒绝连接。

Certificate Pinning在手机软件中应用较多。因为这些应用连接的服务器相对固定,可以预先将服务器的X509证书或者公钥保存在App中。例如,苹果应用商店Apple App Store就预置了这个功能。当使用中间人工具或者Fiddler之类的工具拦截数据,就会造成应用商店无法联网的情况。

在渗透测试中,遇到这类技术,有三种解决办法。第一种是从系统层面禁用证书锁定验证功能。第二种是反编译软件,将其保存的公钥替换为攻击机的证书。第三种,如果该目标不是分析的对象,可以设置代理时忽略其要连接的服务器,不进行拦截和修改。


PS:如果在手机上采用第一种或者第二种方式,就需要手机root或者越狱。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/29597077/viewspace-2134643/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/29597077/viewspace-2134643/

ciqihui0949
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Certificate Pinning是如何工作的?
pcsxk的专栏
11-13 4519
Certificate Pinning是什么,有什么用? Certificate Pinning,或者有叫作SSL Pinning/TLS Pinning的,都是指的同一个东西,中文翻译成证书锁定,最大的作用就是用来抵御针对CA的攻击。在实际当中,它一般被用来阻止man-in-the-middle(中间人攻击)。 说起中间人攻击,可能不是那么直观,但是这一类工具我们可能经常会用到,如Mac平台的C...
读OkHttp3源码(二):CertificatePinner(锁定证书
challenge51all的专栏
10-09 7491
okhttp3 public final class CertificatePinner extends Object 类介绍: 该类用于约束哪些证书是可信的。 锁定证书可以防止对证书颁发机构相关的攻击。 它还阻止通过用户已知或未知的中间证书颁发机构建立的连接。 这个类目前锁定了一个证书的主题公钥信息,如Adam Langley的博客所述。公钥不是HTTP公钥锁定(HPKP)中的base64 ...
证书绑定(Certificate Pinning)才能有效避免中间人攻击的风险
htcj0110的专栏
04-29 2088
最近和一些朋友讨论App的安全性,大家都认为App着重的多半是操作接口,用户体验.鲜少留意到安全问题. 小弟就来分享一下何谓证书绑定(Certificate Pinning),初次接触这个名词的人可能不太理解它想表达的意涵.简单来说,它就是App可以有效避免中间人攻击的风险的强验证方式. 试想,即便一个App已有采用加密传输,因此即便被抓包,也无法得知传输内容.但若是未确实达成证书绑定,传输过...
证书锁定SSL Pinning
RealGUO的博客
10-27 690
在公共网络中通知我们使用安全的SSL/TLS通信协议来进行通信,并且使用数字证书来提供加密和认证我们知道握手环节仍然面临(MIM中间人)攻击的可能性,因为CA证书签发机构也存在被黑客入侵的可能性,同时移动设备也面临内置证书被篡改的风险。证书锁定旨在解决移动端APP与服务端通信的唯一性实际通信过程中,如果锁定过程失败,那么客户端APP将拒绝针对服务器的所有 SSL/TLS 请求FaceBook/Twitter则通过证书锁定以防止Charles/Fiddler等抓包工具中间人攻击。
【网络安全】https与证书原理 | SSL Pinning及其绕过
Juruo@Security
08-05 7649
SSL Pinning | https协议与证书原理
http_certificate_pinning:Flutter的Https证书固定
04-16
http_certificate_pinning : 1.0.4 获取证书指纹 要获取SHA256证书指纹,请在控制台中运行: openssl x509 -noout -fingerprint -sha256 -inform pem -in [certificate-file.crt] 结果就像: '59:58:57:5A:5B...
Android-SSL-Certificate-Pinning:一个实现 Moxie 证书固定库的示例 android 应用程序
06-10
**Android SSL 证书固定(Certificate Pinning)** 在移动应用开发中,尤其是涉及到敏感数据传输时,确保网络通信的安全性至关重要。SSL(Secure Sockets Layer)证书固定是一种加强网络安全的技术,它防止中间人...
SSLPinning:HttpURLConnection SSL固定
05-11
SSLPinning HttpURLConnection透过凭证绑定方式作连线,在这是绑定的凭证,当使用Proxy(Ex. )拦截传输内容时会无法正常连线。 Network Security Config Android API 24以后才有的机制,利用script/cert.sh取得网站...
xamarin-cert-pinning:Xamarin示例应用程序,演示证书公共密钥固定
02-06
Xamarin证书公钥固定 这是一个Xamarin示例应用程序,演示了证书公共密钥固定。 请参阅以供参考。 这似乎是一个简单的话题,但是我很难找到任何可行的示例-特别是对于Xamarin应用程序。 我拼凑位从过去的经验,...
Android-SSL-Pinning-WebViews:一个简单的演示应用程序,演示了Android WebViews中的证书固定和schemedomain白名单
05-13
Android WebView中的证书固定和方案/域白名单 一个简单的演示应用程序,演示: Android WebViews中的证书固定 Android WebView中的方案和域白名单 使用OkHttp在网络级别实现固定和白名单。 然后,通过扩展...
移动安全之Certificate Pinning
ptwh0608的专栏
03-09 7822
移动安全之CertificatePinning 背景: 项目组是为美国一商业银行开发移动支付类软件.提到银行类软件,大家第一反应都是安全性的要求特别高,的确在开发过程中,我们对安全方面也做了非常多的处理跟防护.这里先介绍下比较重要的一个——证书锁定 (CertificatePinning) 什么是CertificatePinning 在SSL/TLS通信中,客户端
flutter dio Https证书校验和certificate_pinning源码解析
a611510的博客
05-16 3425
在dio 里面有一个http_certificate_pinning 插件, 用来配置固定证书证书的的检查 来源于https 连接, https 比http 多了一个 安全机制的校验, 在http 连接时候就是以前老说的几次握手之类的, https 在此之前 会先去 ...
数字证书原理[转载]
weixin_30343157的博客
09-26 3330
文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows中数字证书的管理,最后演示使用makecert生成数字证书。如果发现文中有错误的地方,或者有什么地方说得不够清楚,欢迎指出! 1、基础知识 这部分内容主要解释一些概念和术语,最好是先理解这部分内容。 ...
SSL Pinning札记
oaimgo的博客
10-09 1266
关于SSL Pinning都在这里了
SSL校验证书绑定(ssl pinning
热门推荐
听风-Android进阶
09-27 1万+
引言 起因:帮助别人解决问题,给我发来了这么一段内容: 在客户端安装并信任第三方证书通过中间人数据抓包可以解密HTTPS 加密流量,获取交易登陆身份认证等流量的明文信息,存在隐私泄漏风险,涉及组件:okhttp。 漏洞危害:在android 上通过浏览器点击可以安装证书。如受害者使用恶意的无线网络,并被诱导安装了根证书,同样存在将SSL 流量被解密的风险,进而窃取交
iOS 防止抓包(SSL Pinning
heqiang2015的博客
12-05 7462
1、判断是否有网络代理(不推荐) 当进行网络请求的时候,客户端判断当前是否设置了代理,如果设置了代理,不允许进行访问,附带判断是否设置代理的代码: + (BOOL)getProxyStatus { NSDictionary *proxySettings = NSMakeCollectable([(NSDictionary *)CFNetworkCopySystemProxySettings...
学习okhttp wiki--HTTPS
weixin_30411997的博客
11-17 155
HTTPS   OkHttp尝试平衡两个相互竞争的要素: 连通性(Connectivity):连接到尽可能多的服务器。这包括运行最新版本 boringssl 的服务器和不太过时的老版本 OpenSSL 的服务器。 连接的安全性(Security):这包括远程web服务器证书验证,和对私密数据交换的强加密。   在与HTTPS服务器协商一个连接时,OkHttp需要知道提供哪种TLS版本(TLS ...
HTTP Public Key Pinning 介绍
自由空间
02-23 1684
上篇文章中,我介绍了由 Google 推动的 Certificate Transparency 技术,它旨在通过开放的审计和监控系统,提高 HTTPS 网站证书安全性。本文要介绍的 HTTP Public Key Pinning(HPKP),也是用来防范由「伪造或不正当手段获得网站证书」造成的中间人攻击,但有着与 CT 不同的思路。 我们知道,受信任的 CA(证书颁发机构)有好几百个,他们成为整个
okhttp如何实现证书锁定
最新发布
11-08
OkHttp可以通过证书锁定Certificate Pinning)来增强安全性,它可以防止中间人攻击,即使攻击者拥有有效的证书也无法伪造服务器。证书锁定的实现方式是将服务器的证书指纹(SHA-256哈希值)硬编码到应用程序中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值