iOS中的弱SSL认证

最新推荐文章于 2024-02-26 20:00:00 发布
最新推荐文章于 2024-02-26 20:00:00 发布
阅读量4.2k 收藏
点赞数
分类专栏: IOS 文章标签: 弱SSL认证 Man-In-The-Middle 中间人攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/justin_lin/article/details/8657830
版权

在开发过程中,开发人员使用测试或自签名的 SSL 证书构建应用程序。 这样开发人员无需正式请求和验证 SSL 证书即可测试 HTTPS 功能。 然而,大多数情况下会保留使用自签名证书的代码,这会导致基于 HTTPS 的 Man-In-The-Middle (MITM) 攻击。

以下代码允许所有 HTTPS 连接的任意 HTTPS 证书

     //NSURLRequest+IgnoreSSL.h
        @interface NSURLRequest (IgnoreSSL)
         
        + (BOOL)allowsAnyHTTPSCertificateForHost:(NSString*)host;
         
        @end 
     //NSURLRequest+IgnoreSSL.m
	    implementation NSURLRequest (IgnoreSSL)
    	
	    + (BOOL)allowsAnyHTTPSCertificateForHost:(NSString *)host
	    {
	        return YES;
	    }
    	
	    @end

也可通过调用私有方法setAllowsAnyHTTPSCertificate,设置为YES,来绕过SSL认证

        @interface NSURLRequest (DummyInterface)  
        + (BOOL)allowsAnyHTTPSCertificateForHost:(NSString*)host;  
        + (void)setAllowsAnyHTTPSCertificate:(BOOL)allow forHost:(NSString*)host;  
        @end 
        [NSURLRequest setAllowsAnyHTTPSCertificate: YES forHost:[payURL host]];


一般对HTTPS实施中间人攻击是在http协议转为https协议过程中切入,攻击者代理客户端与服务器进行https加密通信,攻击者再把加密的信息解密后直接以http协议跟客户端通信。但这很容易通过地址栏识别。如果允许所有 HTTPS 连接的任意 HTTPS 证书,攻击者就可以伪造证书。以下是一个Java实现的中间人代理研究模型,它与https服务器建立https连接,得到认证证书,并伪造该证书发送给客户端,如果客户端信任该伪造该证书,则该中间人代理研究模型就能控制客户端和服务器的所有通信。

以下是使用它代理修改CSDN个人资料的截图:

添加了该伪造证书,看起来还真像

如果你已经启用了https协议,那就不要因为偷一下懒或图方便去使用弱SSL认证,中间人代理攻击就会让你的https安全协议屁都不是。

参考

[1]. 中间人代理攻击的Java研究模型 http://crypto.stanford.edu/ssl-mitm/

[2].https://www.owasp.org/index.php/Man-in-the-middle_attack

justin_lin
关注
专栏目录
iOS安全开发编码规范(上)
武天旭的博客
12-08 641
一、平台使用不当 1.1、定义 该类别包括平台功能的滥用或未使用平台的安全控制,它主要包括了对X-code工具编码时对工具的警示与提示的重视。 1.2、风险 移动平台提供许多不同的服务,从身份验证,到安全的数据存储,再到安全的网络通信。没有正确地使用平台的相关功能,因此,可能造成数据暴露、连接到不受信的主机、或实现欺诈付款。移动应用程序的隐私和权限也是平台的领域。因此,未能恰当使用平台的功能,可能会最终暴露用户隐私。 1.3、防范方法 1.3.1、X-code警告与提示 【规范要求】 编码时应关注X-cod
iOS应用安全测试用例
武天旭的博客
12-09 1433
前言 自从写了移动安全专栏,经常有小伙伴问有没有APP安全测试用例(俗称checklist),这个当然是有的啦!只是博主觉得测试用例这个东西,属于最基本的常识,就不在这里写了。另外,如果真的从内向外懂移动安全技术的话,测试用例这东西也就是一个自然而然的东西
ssl证书验证绕过抓包
最新发布
qq_63980959的博客
02-26 1711
在实际环境,可能会遇到抓不到包的情况,有可能是因为app有双向ssl证书验证机制,导致无法抓包,那么便需要一些操作来绕过该验证机制。
objc跳过安全认证,请求.https地址
我的地盘
09-02 9298
收集了几种方法,用于objc跳过安全认证,访问h t t
访问https 绕过证书验证的方法
冷胜任 的专栏
04-28 3880
+ (BOOL)allowsAnyHTTPSCertificateForHost:(NSString *)host {     return YES; }
HTTPS绕过证书
bolu的专栏
06-07 689
写一个NSURLRequest的类别,放到任何一个.m文件就行 @implementation NSURLRequest (NSURLRequestWithIgnoreSSL) + (BOOL)allowsAnyHTTPSCertificateForHost:(NSString *)host { return YES; } @end
Cordova下自签名证书无法访问https问题(IOS和Android)
牟云飞的博客
01-15 1895
IOS处理: 在appDelegate.m文件添加以下代码: @implementation NSURLRequest(DataController) + (BOOL)allowsAnyHTTPSCertificateForHost:(NSString *)host { return YES; } @end Android处理: 1、如果没有使用crosswalk 修改 ...
swift-基于AFN3.1.0的httpsSSL认证
08-15
在本主题,我们将深入探讨如何在Swift项目使用Alamofire(简称AFN,版本3.1.0)进行HTTPS SSL认证。 首先,Alamofire是一个流行的Swift网络库,它基于苹果的URLSession API构建,提供了更简洁、更易于使用的...
iOS面试题大全(附带答案)
IOSNF的博客
07-31 1849
C语言相关面试题 1.static有什么用途? 答案:在C语言,static主要定义全局静态变量,定义局部静态变量,定义静态函数。 static 属于静态变量,使用它修饰的变量生命周期是整个源程序。 @1.在函数体内的 static 变量的作用范围为该函数体,该变量的内存只被分配一次,因此其值在下次调用时仍维持上次的值; @2.在模块内的 static 全局变量可以被模块内所有函数访问,但不能被模块外其它函数访问; @3.在模块内的 static 函数只被这一模块内的其它函数调用,这个函数的使用范围被限
2022年iOS面试题简答题
lvwuxue的专栏
03-03 3390
级别方面: iOS级:基础70%,底层原理20%,架构10% iOS高级:基础10%,底层原理50%,架构20%,算法20% iOS架构:底层原理50%,架构20%,算法20%,手写算法10% iOS专家:底层原理20%,架构20%,算法40%,手写算法20% 总的来说就是: 级偏向运用,会不会使用,怎么使用,有没有使用过。 高级偏向底层原理,底层是怎么实现的,你在哪里使用过 架构偏向为什么这么设计(这样设计解决了什么问题,又出现了什么新的问题)一般都是第三方框架,比如ASI和AFN,http2.0和
UIWebView 跳过HTTPS证书认证
十三先生的博客
01-24 510
报错 NSURLSession/NSURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9860) NSURLConnection finished with error - code -1200 解决方法: @interface NSURLRequest (CTSSLRequest) +(BOOL)allowsAnyHTT...
关于ionic的https无法访问的问题
u012794461的博客
01-22 4875
ios解决方案: APPDelegate.m最后追加:@implementation NSURLRequest(DataController) + (BOOL)allowsAnyHTTPSCertificateForHost:(NSString *)host { return YES; } @end然后到项目-info.plist,修改NSAppTransportSecurity:<key
iOS里加载https请求报错说服务器证书无效的解决办法
热门推荐
辣条的博客
02-24 1万+
由于项目是h5加原生界面一起实现,里面有两个部分遇到要https的请求 1.用webview进行https的请求 解决办法一: 加上如上代码,再在创建webview的地方加上 [NSURLRequest allowsAnyHTTPSCertificateForHost:@”这个地方是一个URL”]; 这里使用苹果私有的API,使用这些代码将会导致应用无法上架。解决办
iOS 忽略https证书认证
03-12 1104
//服务器端单项HTTPS 验证,iOS 客户端忽略证书验证。 - (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)protectionSpace { return [protectionSpace.authentic
Cordova下自签名证书无法访问https问题
qq_22220403的博客
01-02 969
使用第三方正规证书或移动端信任所有证书。由于第三方证书都是颁发给域名而不是ip,而我们的应用场景是通过ip访问,所以即使有了第三方的正规证书也是没用的。只有在移动端解决了(让应用信任所有证书)。解决办法如下: IOS上: 在appDelegate.m文件添加以下代码:     @implementation NSURLRequest(DataController)     + (BOOL...
cordova 安装ssl证书_Cordova下自签名证书无法访问https问题(IOS和Android)
weixin_39572168的博客
12-21 373
IOS处理:在appDelegate.m文件添加以下代码:@implementation NSURLRequest(DataController)+ (BOOL)allowsAnyHTTPSCertificateForHost:(NSString *)host{return YES;}@endAndroid处理:1、如果没有使用crosswalk修改org.apache.cordova.eng...
Unity3d 接入VKSDK登陆和分享 IOS
07-17 2257
这几天公司要求接VK的登陆和分享,结果上网一查关于IOS的接入一篇都没有?! 官方文档和最新sdk很多不一样写的也很不详细基本没啥用,爬了一天坑终于搞定了记录下来. 官方文档地址:https://vk.com/dev/ios_sdk 官方sdk地址:https://github.com/VKCOM/vk-ios-sdk 1.先去注册vk创建应用 2.运行sdk打出libVKSdk.a和VKSdkResources.bundle并和.h一起拷到Plugins/iOS 下 3.编写OC调用类.
iOS WebView 忽略不受信任的https证书(SSL
WangQingLei0307的博客
03-21 4504
大家在开发过程经常会使用到WebView,但是在使用WebView经常回家再Https,可是有一些Https是不受信任的,这个时候我们就要跳过这个Https信任这个过程,那我们如何跳过这个过程呢? 为了方便使用,我们创建一个类别。 类别名字NSURLRequest+IgnoreSSL.h #import <Foundation/Foundation.h> NS_ASSUM...
iOS UIWebView 访问https 绕过证书验证的方法
倾城一屁,博妹一笑。
07-26 7567
在文件开始实现  allowsAnyHTTPSCertificateForHost 方法 @implementation NSURLRequest (NSURLRequestWithIgnoreSSL) + (BOOL)allowsAnyHTTPSCertificateForHost:(NSString *)host { return YES; } @end
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值