推荐开源项目:SSLUnpinning - Xposed 模块,解除 Android 应用的 SSL 证书验证限制

最新推荐文章于 2024-05-21 10:08:31 发布
最新推荐文章于 2024-05-21 10:08:31 发布
阅读量1.1k 收藏 19
点赞数 22
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00011/article/details/139017571
版权

推荐开源项目:SSLUnpinning - Xposed 模块,解除 Android 应用的 SSL 证书验证限制

1、项目介绍

SSLUnpinning 是一款基于 Xposed 框架的 Android 模块,专为了解决那些采用证书绑定(也称为证书固定)的 App 的网络流量拦截问题。如果你试图使用像 Burp Suite 这样的代理工具来监控特定应用的数据流,而该应用又启用了 SSL 证书校验,那么 SSLUnpinning 就是你的得力助手。

2、项目技术分析

这个模块深入到 Java Secure Socket Extension (JSSE)、Apache HTTP 客户端和 OkHttp 这些底层网络库中,通过 Xposed 框架实现对 SSL 类的挂钩(hook),巧妙地绕过了证书验证步骤。这意味着,你可以自由地拦截并分析已选应用的所有 HTTPS 流量,而无需担心因证书校验失败而导致的通信中断。

3、项目及技术应用场景

  • 安全测试与渗透测试:对于开发者或安全性测试人员来说,能够解除 SSL 证书验证可以更有效地进行应用的安全审计,检查潜在的漏洞。
  • 数据监控与调试:开发者在调试应用程序时,需要查看网络请求的详细信息,SSLUnpinning 可以帮助他们轻松获取这些数据。
  • 隐私保护:让用户了解自己的数据是如何被加密和传输的,提高用户对隐私保护的意识。

4、项目特点

  • 跨库支持:SSLUnpinning 支持 JSSE、Apache HTTP 和 OkHttp 三大主流网络库,覆盖了大部分 Android 应用。
  • 易于使用:只需安装 Xposed 框架,然后安装 SSLUnpinning 的 APK 文件,并选择要解除证书验证的应用即可。
  • 灵活卸载:如果不再需要该模块,通过简单的 adb 命令即可卸载。
  • 可视化界面:直观的用户界面让你可以方便地看到所有可选应用并进行选择。

如何获取

你可以直接从 Xposed 仓库 下载 SSLUnpinning,或者访问项目的 GitHub 页面 手动编译最新版 APK。

Screenshot Screenshot

这款开源项目遵循 MIT 许可协议,由 ACPM 创建并维护。

总之,无论你是开发者还是安全研究人员,SSLUnpinning 都是一个强大的工具,它能帮你突破 SSL 证书验证的束缚,让网络流量监测变得更加简单。立即尝试,看看你能发现什么吧!

邬筱杉Lewis
关注
  • 22
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
抖音SSL Pinning绕过
msInfoSec的博客
08-23 2966
问题背景 解决方法 总结 问题背景 用Charles(Mac版)抓包iPhone中的https请求,出现unknown。以前遇到过这种问题,是通过Charles抓包https中出现unknown这篇文章解决的。 但是现在,就算信任了证书,抖音还是一样的https请求unknown,同样是SSL handshake failed。 类似于之前的问题,那么这次肯定也是证书问题了。 解决方法 这是一种叫做SSL Pinning的技术,大概十年前就有应用开始使用这种技术了,目的是为了防止中间人攻击。 原理...
DroidSSLUnpinning,Android证书固定禁用工具.zip
09-26
应用程序app app https》网站7月27日消息,北京时间11月15日消息,美国《应用程序工作。
JustTrustMe:一个xposed模块,它禁用SSL证书检查,目的是通过证书固定来审核应用程序
04-22
相信我 禁用SSL证书检查的xposed模块。 这对于审核执行证书固定的应用程序很有用。 还有一个由@moxie构建的不错的框架,可帮助您在应用程序中固定证书:。 就是进行证书固定的应用程序的一个示例。 如果要查看此应用程序的网络流量,则必须禁用证书固定。 我为xposed而不是cydia基底构建了这个,因为xposed似乎更好地支持更新的设备。 马克·布兰科(Marc Blanchou)编写了用于Cydia底物的。 如果发现您无法使用MITM应用程序,请提出问题。 安装 作为前提,您的设备必须植根并且必须安装xposed框架。 您可以在下载xposed框架。 从二进制安装 可以从下载JustTrustMe二进制文件 adb install ./JustTrustMe.apk 或浏览此处并在手机上下载APK: : 从源构建 所有正常的gradle构建命令都适用:要构建发行版APK,
推荐开源项目Xposed-GodMode —— 让你的Android体验更清爽
最新发布
gitblog_00014的博客
05-21 328
推荐开源项目Xposed-GodMode —— 让你的Android体验更清爽 项目地址:https://gitcode.com/kaisar945/Xposed-GodMode 项目介绍 在移动设备的世界里,广告和不必要的元素有时会打扰我们享受纯粹的应用体验。Xposed-GodMode 是一个创新的开源工具,它利用 Xposed 框架的强大功能,让你能够在任意应用程序中屏蔽那些不受欢迎的元素...
某音短视频APP 最新版(21.8)SSL PINNING 绕过
Sajor的博客
05-12 9863
某音短视频APP 最新版 21.8 抓包方案
xposed绕过ssl校验新玩具(转载)
mingyqf的博客
01-02 550
https://xin3721.com/pythonTech/python26919.html
关于代理抓包,ssl pinning解决方案
weixin_44154094的博客
09-03 8236
抓包 代理抓包 Fiddler, charles能抓http/https/websocket属于应用层 优点:配置简单,抓取解析ssl方便 缺点:app对代理抓包的检测越发厉害 https: http是明文传播,易被修改,易被拦截,网页弹广告 https实在http基础上加了一个安全层 https特点: 数据加密,不再明文传播 使用数字证书(CA Certificate Authority)做身份校验,防止数据被截获,只有合法证书持有者才能读取数据 数据完整性,防止数据被篡改,对数据做签名 HTTP O
sslunpin
jinangl的专栏
10-12 744
如果有些https,在之前设置了好各种证书和配置后,看到的: 要么是unknown 要么是:加密的乱码 要么是:报错无法抓包 而无法看到我们希望的明文数据,则: 最大可能是,对方用了https的SSL pinning 什么是SSL pinning SSL pinning=证书绑定=SSL证书绑定 对方的app内部,只允许,承认其自己的,特定的证书 导致此处Charles的证书不识别,不允许 导致Charles无法解密看到https的明文数据 尤其是: Android 7.0之后系统如何
爬虫抓取某饿了app商铺的评论数据
造梦师Fred的博客
08-11 2135
前言: 最近研究了一下某饿了app的商铺评论的抓取,该app使用了ssl-pinning的技术来防止中间人攻击,中间代理抓包的时候,出现了unknown,你的代理工具的协议不支持,你可以手写协议或者使用下文中提到的方法。 1.目标 环境的准备:雷电模拟器,要抓取的app,可登录的账号,Charles 抓取某饿了app店铺的评论数据, 2.抓包寻找接口 设置好Charles的环境,配置证书信任后,由于Charles证书并非证书机构颁发的目标站点的合法证书,手机上的抓包神器,PacketCaptur.
文章向大家介绍安卓逆向,解决app抓包抓不到的问题,主要包括安卓逆向,解决app抓包抓不到的问题使用实例、应用技巧
阿里大叔说测试的博客
11-29 3837
本文章向大家介绍安卓逆向,解决app抓包抓不到的问题,主要包括安卓逆向,解决app抓包抓不到的问题使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。有时候app抓不到包,这不是工具的问题,而是你没有搞清楚网络协议,
手机app抓包https请求信息,解决SSL Pinning验证
热门推荐
Yunwubanjian的博客
04-16 1万+
抓包工具: Charles,fiddler,wireshark 其中,前两个用于抓取https请求,wireshark则是包含tcp/udp在内的所有请求,本文中以Charles为例 或者移动端(Android)安装:packet capture packet capture 安装使用教程: https://mp.weixin.qq.com/s/JxJWZk-uMMjLcLQFTQ7th...
NoActive墓碑 v1.7-Alpha-Xposed模块.zip
08-30
Xposed框架是一个在Android系统上运行的底层框架,允许用户通过安装各种模块来修改系统的功能和行为,无需root权限。"Alpha"表明这是该软件的早期开发版本,可能包含一些实验性的功能或存在不稳定因素。 【描述解析...
使用Xposed+JustTrustMe突破SSL Pinning验证-附件资源
03-05
使用Xposed+JustTrustMe突破SSL Pinning验证-附件资源
NFC-Activity-Monitor:基于Xposed Framework的android模块,可帮助您监视第三方应用程序如何使用NFC
04-30
要使用此模块,您必须使用Android Studio克隆此项目,然后运行它。 由于此应用程序没有活动,因此您会收到错误消息,但是您的模块现在应该在Xposed应用程序中列出。 激活它,然后重新启动手机。 用法 它是如何工作...
Xposed-Android-Studio-Project:适用于Android Studio的Xposed框架演示项目
05-16
Xposed-Android-Studio-Project 适用于Android Studio的Xposed框架演示项目。 只需导入项目并开始构建xposed模块即可。 图书馆-XposedBridgeApi-54.jar 对于教程:
LenovoMultiWindowMod:Xposed模块-Lenovo Yoga 2 Tablet MultiWindow的编辑应用列表
05-13
联想MultiWindow Mod 适用于Android 4.4的Lenovo Yoga 2平板电脑的Xposed模块。 允许选择可以在默认值之外的MultiWindow中打开的应用程序。 如有任何疑问,建议,请访问
Android逆向入门1——引言与抓包
lilac的博客
07-17 6131
一个人要走多少路 才能称的上是一个男人 一个Python程序员要绕多少弯 才能找到Android逆向的路 废话不多说,Talk is cheap,不服就干。 本教程食用指南 主要面向Python爬虫工程师 Android开发人员或者Java工程师,不妨直接看非虫的《Android软件安全与逆向分析》和姜维的《Android应用安全防护和逆向分析》,对于这两本书,我个人看法是是这样的,两本都是好书,...
太干了,Android 抓包姿势总结!
weixin_42282189的博客
09-02 3806
太干了,Android 抓包姿势总结! 本文作者:不染 App 服务端测试基本就是 Web 安全那一套,但如果抓不到服务器的包?哎~就很难受,空报告? 本篇文章总结了几个比较好用点的 Android 端抓包的姿势,当然远不止这几种。 0x01 知识点总结 因为图比较多,可能翻起来有点麻烦,所以先在这做个简单的知识点总结 绕过 root 检测 绕过 SSL Pinning BurpSuite 抓包 Fiddler+BurpSuite 联动 Charles+Burp 联动 Proxifier+ 夜神模拟器
SSL Pinning札记
oaimgo的博客
10-09 1270
关于SSL Pinning都在这里了
xposed busybox-xposed 是做什么用的
03-26
Xposed是一个框架,旨在允许用户在不修改手机固件的情况下定制和增强其 Android 系统功能。Busybox-xposedXposed的一个模块,它提供了用于更新、安装和卸载 BusyBox 的方法。BusyBox是一个单个可执行文件,它包含了许多经典Unix实用工具程序,如ls、cp、mv等等。它通常用于嵌入式系统和设备中,以提供基本的Linux命令和工具。Busybox-xposed使用户能够快速轻松地在Android设备上安装和更新BusyBox,从而可以使用更多的Linux命令和工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

邬筱杉Lewis

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值