证书绑定(Certificate Pinning)才能有效避免中间人攻击的风险

最新推荐文章于 2023-10-12 19:14:16 发布
最新推荐文章于 2023-10-12 19:14:16 发布
阅读量2.1k 收藏
点赞数
文章标签: Certificate Pinning 证书绑定
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/htcj0110/article/details/89683921
版权

最近和一些朋友讨论App的安全性,大家都认为App着重的多半是操作接口,用户体验.鲜少留意到安全问题.

小弟就来分享一下何谓证书绑定(Certificate Pinning),初次接触这个名词的人可能不太理解它想表达的意涵.简单来说,它就是App可以有效避免中间人攻击的风险的强验证方式.

试想,即便一个App已有采用加密传输,因此即便被抓包,也无法得知传输内容.但若是未确实达成证书绑定,传输过程之中便有可能会被有心人士以中间人攻击手法,拦截传输中的敏感性信息.

如下图所示,即是证书绑定的验证方式,右边为App操作接口,左边则是proxy工具,我们便可透过在手机上安装假证书的方式,来骗取传输中的加密信息,如左方红底线所示,即为用户的电话号码及帐户ID.

 

也许有人会说,那还不简单,我就直接对上述那些敏感信息再进行加密,这样一来,即便被拦到,也无从得知内容了.乍听之下似乎有理,但别忘了,万一开发程序时不小心漏掉了一些怎办,还不是一样有着风险存在?因此,要从根本上解决,那就是,确实达成证书绑定.就是根本无从以上述手法拦得敏感信息即可.而通常在这种情况之下,[Alert]窗口中还可看到App吐出的错误讯息,即知确有进行验证.

htcj0110
关注
Frida高级篇-Fiddler Everywhere手机抓包(绕过证书绑定限制)
helloworlddm的博客
11-15 4217
在 抓包神器之Fiddler Everywhere及Wireshark 中讲解了Fiddler EveryWhere怎么抓取web的数据,这篇文章主要说怎么进行手机抓包以及绕过如何绕过ssl-pining技术实现抓包。 纠正一个错误 网上很多文章说,在进行手机抓包的时候,一定要保证手机和电脑在同一个局域网。这句话是不准确的,我认为这么说的基本上是两种情况: (1)人云亦云,别人这么说,我也这么说,应该不会错吧。 (2)对抓包的原理不理解,甚至于什么是中间人攻击都不清楚。 要实现抓包,需要的前提条件并不一定要
how to properly setup security connection 1、iOS安全【 SSL证书验证, 让Charles再也无法抓你的请求数据】2、iOS逆向:【绕过证书校验】
iOS逆向与安全
08-12 1万+
效果: 经过app的SSL证书验证之后,就是这样子,别人无法获取报文,除非服务器的证书信任Charles的证书前言1、目前采用的是AFSSLPinningModePublicKey 方式验证。 2、 若想采用AFSSLPinningModeCertificate方式验证,请提供正确的cer 证书。 使用AFSSLPinningModeCertificate 方式验证的时候,获取 DER 表示
Certificate Pinning是如何工作的?
pcsxk的专栏
11-13 4670
Certificate Pinning是什么,有什么用? Certificate Pinning,或者有叫作SSL Pinning/TLS Pinning的,都是指的同一个东西,中文翻译成证书锁定,最大的作用就是用来抵御针对CA的攻击。在实际当中,它一般被用来阻止man-in-the-middle(中间人攻击)。 说起中间人攻击,可能不是那么直观,但是这一类工具我们可能经常会用到,如Mac平台的C...
证书锁定Certificate Pinning技术
03-03 849
证书锁定Certificate Pinning技术 在中间人攻击中,攻击主机通常截断客户端和服务器的加密通信。攻击机以自己的证书替代服务器发给客户端的证书。通常,客户端不会验证该证书,直接接受该证...
Certificate Pinning in Android
omnispace的博客
08-02 649
Background Generally what happens in a https connections is that client asks for SSL certificate from the SSL compliant server it is communicating with over https. Server will provide a certificate
移动安全之Certificate Pinning
ptwh0608的专栏
03-09 7886
移动安全之CertificatePinning 背景: 项目组是为美国一商业银行开发移动支付类软件.提到银行类软件,大家第一反应都是安全性的要求特别高,的确在开发过程中,我们对安全方面也做了非常多的处理跟防护.这里先介绍下比较重要的一个——证书锁定 (CertificatePinning) 什么是CertificatePinning 在SSL/TLS通信中,客户端
难道中间人就不能拦截、修改SSL/TLS证书,来攻击客户端和服务器了吗?
weixin_35752645的博客
01-04 297
是的,中间人攻击可以拦截并修改 SSL/TLS 证书。SSL/TLS 协议旨在使用加密来保护网络连接的安全,但是如果中间人能够截取并修改这些信息,那么就可能导致客户端和服务器之间的通信被窃听或篡改。有一些技术可以用来防范中间人攻击,例如使用证书绑定(certificate pinning)或使用安全套接层(TLS)扩展中的服务器名称指示(SNI)。 ...
信息安全_数据安全_AppSecEU2016-John-Kozyrakis-Certificate-Pinning.pdf
08-21
它涉及到对服务器身份的验证,旨在防止中间人攻击,减少对传统证书颁发机构(CA)的信任依赖,以及对抗内外威胁。 证书固定的基本原理是将服务器的身份与其公钥绑定,确保客户端只接受特定的证书或公钥,而不是依赖...
Certificate_and_Public_Key_Pinning
03-18 439
在实际项目代码审计中发现,目前很多手机银行虽然使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息。 手机银行开发人员在开发过程中为了解决ssl证书报错的问题(使用了自己生成了证书后,客户端发现证书无法与系统可信根CA形成信任链,出现了 CertificateException等异常。)
http_certificate_pinning:Flutter的Https证书固定
04-16
Http证书固定 Flutter的Https证书固定 该项目基于 任何帮助表示赞赏! 评论,建议,问题,公关! 入门 在flutter或dart项目中添加依赖项: dependencies : ... http_certificate_pinning : 1.0.4 获取证书指纹 要获取SHA256证书指纹,请在控制台中运行: openssl x509 -noout -fingerprint -sha256 -inform pem -in [certificate-file.crt] 结果就像: '59:58:57:5A:5B:5C:5D:59:58:57:5A:5B:5C:5D:59:58:57:5A:5B:5C:5D:59:58:57:5A :5B:5C:5D:59:58:57:5A:5B:5C:5D' 用法示例 使用迪奥 import 'package:http_ce
Android-SSL-Certificate-Pinning:一个实现 Moxie 证书固定库的示例 android 应用程序
06-10
Android-SSL-Pinning 一个实现 Moxie 的 SSL Pinning 库的示例 android 应用程序
SSL安全证书绑定
weixin_44681349的博客
08-11 574
SSL安全证书绑定 1 . 先购买证书 ,各大云服务平台都有啊 2, 本博文绑定SSL 安全证书绑定的是单域名。 3 . 根据SSL 安全证书的开发文档, 比如 Nginx 或者 其他 服务器 按要求进行配置 4 大坑 当绑定后 前端向后端请求的时候 用https:// ...
https的证书验证机制真的能防止中间人攻击吗?
weixin_42576410的博客
01-04 326
是的,https 的证书验证机制真的能防止中间人攻击。当客户端(例如浏览器)连接服务器时,服务器会向客户端发送其 SSL/TLS 证书。客户端收到证书后,会对其进行验证,以确定证书是否有效并由可信的证书颁发机构颁发。如果证书无效,客户端会向用户显示警告信息。如果证书有效,客户端会生成一个随机的密钥(称为“会话密钥”)并使用证书中的公钥加密该密钥,然后将加密后的密钥发送给服务器。服务器使用自己的私钥...
iOS Application Security Part 36 – Bypassing Certificate Pinning Using SSL Kill Switch
zhangmiaoping23的专栏
12-31 1206
转:http://highaltitudehacks.com/2014/11/03/ios-application-security-part-36-bypassing-certificate-pinning-using-ssl-kill-switch/ In this article, we will look at how we can analyze network traffic for
SSL校验证书绑定(ssl pinning
热门推荐
听风-Android进阶
09-27 1万+
引言 起因:帮助别人解决问题,给我发来了这么一段内容: 在客户端安装并信任第三方证书通过中间人数据抓包可以解密HTTPS 加密流量,获取交易登陆身份认证等流量的明文信息,存在隐私泄漏风险,涉及组件:okhttp。 漏洞危害:在android 上通过浏览器点击可以安装证书。如受害者使用恶意的无线网络,并被诱导安装了根证书,同样存在将SSL 流量被解密的风险,进而窃取交
app服务器证书有效性验证,请问 app 端如何做证书绑定?(支持无缝升级)
weixin_34008968的博客
07-30 690
目前有个需求是防抓包,同时要支持证书无缝升级。(每年都要换一次证书万恶之源,而且运维人员换证书可能不会提前和你说。而且保证存量用户不影响升级)我的想法是限定 root CA 证书指纹,这样即使证书升级也能无缝切换,也能防止抓包。目前的证书链是这样的CA -> CA2-> AA 最开始的想法: 比对下 CA 的 hash, 和 AA 证书的 SAN(Subject Alternative...
防御中间人攻击:Android证书锁定
最新发布
chuyouyinghe的专栏
10-12 489
中间人攻击(MITM)是一种狡猾且危险的网络威胁,可能严重破坏用户的在线安全和隐私。在这种攻击中,未经授权的第三方截取并窃听两个相信彼此直接连接的各方之间的通信,通常是用户和受信任的服务器或网站。攻击者潜入通信流的中心位置,因此得名“中间人”。证书锁定是一种安全实践,限制应用程序从服务器接受的可信数字证书的数量,以建立安全连接。与仅依赖公钥基础设施(PKI)范 paradigm 不同,PKI中有大量证书颁发机构(CA)发行证书证书锁定要求应用程序仅信任与受信任机构相关联的某些证书或公钥。
Android证书绑定绕过研究(一)
Tasfa的博客
08-12 1434
背景 随着App安全技术快速发展,越来越多的App使用SSL Pinning(证书绑定),因此需要有方案来绕过该防御措施。 可能网上有很多脚本,适用于大部分情况,但是一遇到脚本无法使用的时候,我们便需要有逆向分析的思路。 本文将从两方面入手,一方面是分析公开脚本的原理,一方面是当脚本失效时的逆向思路分享。 SSL-Pining-Bypass 逆向思路 ...
TOFU策略如何防护伪造证书中间人攻击
06-08
TOFU(Trust On First Use)策略是一种防范中间人攻击的方法。它基于一个假设,即第一次连接时双方的身份是可信的,因此会将对方的公钥保存在本地。...这样可以防止中间人攻击,因为攻击者无法伪造预设的证书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值