ssl pining_通过android上的ssl pining保护您的https连接

最新推荐文章于 2022-08-08 00:44:19 发布
最新推荐文章于 2022-08-08 00:44:19 发布
阅读量315 收藏
点赞数
文章标签: python android https 安卓
原文链接:https://medium.com/swlh/protect-your-https-connection-with-ssl-pinning-on-android-21860326c3cf
版权

ssl pining

Welcome to this series of articles about Android Security and how you can improve tremendously the protection of your users, by implementing 3 things that provide a great effort/safety ratio.

欢迎阅读本系列有关Android安全性的文章,以及如何通过实现3个可以提供极大努力/安全比的方法来极大地改善对用户的保护。

Today we are going to look at protecting the HTTPS connection. Your APIs, your user data use that link and it is crucial that the data is encrypted and not readable during the transfer, moreover that the server the App is communicating with is the one intended.

今天,我们将研究保护HTTPS连接。 您的API,您的用户数据使用该链接,并且在传输过程中对数据进行加密且不可读是至关重要的,此外,与应用程序通信的服务器是预期的服务器。

先决条件 (Prerequisite)

An HTTPS connection to your API, and if you do not use HTTPS yet, then start immediately.

与您的API的HTTPS连接,如果尚未使用HTTPS,请立即启动

You will need OkHTTP (or Retrofit), that is providing a method to setup SSL Pinning with just a couple of line of code.

您将需要OkHTTP (或Retrofit),它提供了一种仅用几行代码即可设置SSL Pinning的方法。

A browser or access to the HTTPS certificate.

浏览器或对HTTPS证书的访问。

OpenSSL

的OpenSSL

查找PIN码 (Finding the PIN)

HTTPS certificates are coming with a a Fingerprint, this is a hash (SHA1, SHA256) of the actual certificate. and we are going to use it to verify the authenticity of the server we are connecting to.

HTTPS证书附带一个指纹,这是实际证书的哈希(SHA1,SHA256)。 我们将使用它来验证所连接服务器的真实性。

With a Browser, connect to your HTTPS domain. Click on the padlock icon to show the Certificate details.

使用浏览器,连接到您的HTTPS域。 单击挂锁图标以显示证书详细信息。

Image for post
Medium HTTPS certificate
中型HTTPS证书

On the screenshot above, with Safari, we can see at the bottom the Fingerprints.

在上面的屏幕快照中,使用Safari,我们可以在底部看到“指纹”。

I do recommend you to use SHA-256 for your SSL Pinning as it is more secure than SHA1.

我确实建议您使用SHA-256进行SSL固定,因为它比SHA1更安全。

Keep the SHA-256 somewhere in your editor.

将SHA-256放在编辑器中的某个位置。

you can also use openssl command line to get the SHA-256

您还可以使用openssl命令行获取SHA-256

SHA256:openssl x509 -noout -fingerprint -sha256 -inform pem -in cert.pem

SHA256: openssl x509 -noout -fingerprint -sha256 -inform pem -in cert.pem

SHA256 with Base64 encode: openssl x509 -in cert.pem -pubkey -noout | openssl pkey -pubin -outform der | openssl dust -sha256 -binary | openssl enc -base64

使用Base64编码的SHA256: openssl x509 -in cert.pem -pubkey -noout | openssl pkey -pubin -outform der | openssl dust -sha256 -binary | openssl enc -base64 openssl x509 -in cert.pem -pubkey -noout | openssl pkey -pubin -outform der | openssl dust -sha256 -binary | openssl enc -base64

使用指纹来验证证书 (Using the Fingerprint to verify the certificate)

The idea of SSL Pinning is to checksum the SSL certificate that we are going to connect to and apply a Hash algorithm, in this instance SHA256.

SSL固定的想法是对我们将要连接的SSL证书进行校验和并应用哈希算法,在本例中为SHA256。

OkHTTP is going to apply the same SHA256 checksum algorithm on the certificate it is connecting to, and compare it with the provided and trusted SHA256 checksum found earlier.

OkHTTP将对要连接的证书应用相同的SHA256校验和算法,并将其与之前提供的受信任的SHA256校验和进行比较。

If the checksums match, it means the certificate OkHTTP is connected to, is genuine and therefore we can proceed with the requests.

如果校验和匹配,则表明OkHTTP连接的证书是真实的,因此我们可以继续进行请求。

OkHTTP is providing CertificatePinner to make that task easy.

OkHTTP提供了CertificatePinner来简化该任务。

The implementation looks like this:

实现看起来像这样: 

val certificatePinner = CertificatePinner.Builder()
    .add("www.domain.com",
        // base64encoded SHA256
        "sha256/dlpedDsLEvgbase64encodedSHA256ky16vi1obFFn/yOh=")
    .build()// set the certificatePinner to OkHTTP builder
val okHttpBuilder = OkHttpClient.Builder()
okHttpBuilder.certificatePinner(certificatePinner)

And that’s it! OkHTTP will now verify that the certificate it connects to, is genuine.

就是这样! OkHTTP现在将验证其连接的证书是真实的。

处理SSL证书到期 (Handling SSL Certificates expiry)

SSL Certificates have an expiry date, which mean the SHA-256 has also an expiry date. When the certificate will become expired, you will have to provide a new SHA-256 fingerprint for the new certificate. Thankfully the CertificatePinner can handle multiple PINs:

SSL证书具有到期日期,这意味着SHA-256也具有到期日期。 证书过期后,您将必须为新证书提供新的SHA-256指纹。 值得庆幸的是,CertificatePinner可以处理多个PIN: 

val certificatePinner = CertificatePinner.Builder()
    .add("www.domain.com",
        // base64encoded SHA256 - old cert
        "sha256/oLdCeRtDsLEvgbase64encodedSHA256ky16vi1obFFn/yOh=")    .add("www.domain.com",
        // base64encoded SHA256 - new cert
        "sha256/nEwCeRtldpsDejbase64encodedSHA256ky16vi1obFFn/yOh=")    .build()

So if you get the new certificate in advance you can hardcode the new fingerprint into your app and then ask your user to update the app if the fingerprint is expired, so they get the latest version with the new fingerprint.

因此,如果您提前获得了新证书,则可以将新指纹硬编码到您的应用中,然后要求您的用户更新该指纹是否过期的应用,以便他们获得带有新指纹的最新版本。

But there is other technical solutions, like downloading the PINs that you would encrypt on the server and decrypt on the App, using a passphrase, so PINs can dynamically change.

但是,还有其他技术解决方案,例如使用密码短语下载在服务器上加密并在应用程序上解密的PIN,以便PIN可以动态更改。

结论 (Conclusion)

In this article we have seen how OkHTTP with CertificatePinner can help improve the security of your app. Handling certificate expiry can be tricky, but it will improve your app’s security and protect against main-in-the-middle attacks.

在本文中,我们了解了带有CertificatePinner的OkHTTP如何帮助提高应用程序的安全性。 处理证书到期可能很棘手,但是它将提高应用程序的安全性并防止中间人攻击。

翻译自: https://medium.com/swlh/protect-your-https-connection-with-ssl-pinning-on-android-21860326c3cf

ssl pining

weixin_26756315
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android 开发中的SSL pinning
xiangzhihong8的专栏
12-17 870
在日常的安全渗透过程中,我们经常会遇到瓶颈无处下手,这时候如果攻击者从APP进行突破,往往会有很多惊喜。但是目前市场上的APP都会为防止别人恶意盗取和恶意篡改进行一些保护措施,比如模拟器检测、root检测、APK加固、代码混淆、代码反调试、反脱壳、签名校验等等对抗机制。而测试人员对APP进行渗透的首步操作通常就是上burp或者Charles这类抓包工具进行抓包,查看请求记录里的域名及链接地址是否可以进一步利用。我们都知道http协议传输的是明文信息,是可以直接捕获的,从而造成了数据泄露。
如何使用Xposed+JustTrustMe来突破SSL Pinning
热门推荐
iqiqiya的博客
05-07 2万+
如何使用Xposed+JustTrustMe来突破SSL Pinning 本文由看雪论坛 etlpom 原创,原文链接:https://bbs.pediy.com/thread-226435.htm0x00 前面      如果你是一干Web安全的,当你在测试目前大多数的手机APP应用程序时,你一定遇到过burpsuite无法抓到数据包的情况,开始你以为只是https的问题,但是当你使用了burp...
[免费专栏] Android安全之绕过SSL PinningHTTPS数据
最新发布
橙留香Park的博客
08-08 7121
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球
android okhttp 证书,证书固定不能在Android使用OkHttp
weixin_29958797的博客
05-28 296
使用com.squareup.okhttp:okhttp:2.4.0 with com.squareup.retrofit:retrofit:1.9.0在Android应用程序,尝试通过HTTPS使用自签名证书的HTTPS上的服务器REST API进行通信.服务器密钥库具有私钥和2个证书,服务器和根证书. openssl s_client输出 –Certificate chain0 s:/C=....
Android-SSL-Pinning-WebViews:一个简单的演示应用程序,演示了Android WebViews中的证书固定和schemedomain白名单
05-13
Android WebView中的证书固定和方案/域白名单 一个简单的演示应用程序,演示: Android WebViews中的证书固定 Android WebView中的方案和域白名单 使用OkHttp在网络级别实现固定和白名单。 然后,通过扩展WebViewClient并使用OkHttp进行请求来保护WebView。 该解决方案具有性能缺陷:通过扩展WebViewClient并覆盖shouldInterceptRequest ,所有请求将按顺序执行,这会缩短加载时间。 请让我知道是否有解决方案。
小米2018春季实习生安全开发工程师笔试题合集.docx
07-12
20. SSL PININGSSL PINING是一种防御MITM攻击的机制,用于确保HTTPS连接的安全性。 21. iOS功能与url scheme相似的是Universal Links。 22. 移动端Hook框架:移动端Hook框架有Xposed、Substrate、Cydia和frida等...
Price Bookmark-crx插件
04-01
忘记了Tab Pining,欢迎来到PriceBookmark! 使用PlaseBookmark扩展到从您喜欢的任何在线商店的PIN货物,跟踪价格在最方便的时刻购买任何购买。 PliceBookmark允许将商品从所有在线商店省流入您的个人愿望清单并比较...
功能对等视角下的《生活大爆炸》汉语字幕翻译研究.docx
11-16
And he said that you are pining for a young lady.” 如果逐字翻译,可能会过于生硬,而字幕翻译选择了“他说你为伊消得人憔悴”,巧妙地引用了中国古代诗词,既传达了原句的情感,又融入了中国文化元素,创造出...
Android APP SSLPinning证书绑定绕过
samli的博客
03-20 2854
现在测试过程中有没有感觉遇到能直接抓包的APP,简直要拜菩萨,经常测试APP的心路历程是,欸,我的证书怎么又出问题了,重新导证书后,欸,怎么还是抓不到MMP…。 为什么https的网站使用伪证书可以抓到,而在app里面同样的方法就抓不到? 浏览器允许用户忽略证书告警; 浏览器允许用户导入证书到证书信任区,从而伪造证书; 也就是我们常用的burpsuite导证书操作,所以网站可以利用这种方式...
APP开启SSLPinning后导致不能抓包解决方案
daiyu__zz的博客
04-26 1万+
什么是SSLPinningSSL Pinning是一种防止中间人攻击(MITM)的技术,主要机制是在客户端发起请求–>收到服务器发来的证书进行校验,如果收到的证书不被客户端信任,就直接断开连接不继续求情。 所以在遇到对关键请求开启SSL Pinning的APP时,我们抓包就只能看到APP上提示无法连接网络或者请求失败之类的提示;而在抓包工具上面,要么就只能看到一排 CONNECT 请求,...
[车联网安全自学篇] Android安全之绕过SSL PinningHTTPS数据
橙留香Park的博客
05-13 1046
随着移动应用的发展和推广,APP应用安全越来越受到重视。在APP中各类防抓包的机制的出现,让测试无法正常进行分析分析APP时都免不了抓包这一环节,想要抓到包就要看APP用的是什么通信协议。由于HTTP存在不安全性,当前大部分的APP基本采用HTTPS通信协议。...
利用xposed绕过安卓SSL证书的强校验
Omnictech的专栏
02-13 6487
什么是SSL pinning https协议验证服务器身份的方式通常有三种,一是根据浏览器或者说操作系统(Android)自带的证书链;二是使用自签名证书;三是自签名证书加上SSL Pinning特性。第一种需要到知名证书机构购买证书,需要一定预算。第二种多见于内网使用。第三种在是安全性最高的,但是需要浏览器插件或客户端使用SSL Pinning特性。 Android应用程序在使用https
SSL Pining验证
Bais0802的博客
01-02 348
Android中ping检测的使用
06-12 1万+
Ping是Windows、Unix和Linux系统下的一个命令。ping也属于一个通信协议,是TCP/IP协议的一部分。利用“ping”命令可以检查网络是否连通,可以很好地帮助我们分析和判定网络故障 Ping发送一个ICMP(Internet Control Messages Protocol)即因特网信报控制协议,回声请求消息给目的地并报告是否收到所希望的ICMP echo (ICMP回声
连接通信之服务器端与Android使用ssl验证
楠之枫雪的博客
06-06 445
折腾了好久,最后发送Android端也是能使用pfx格式的证书的,一直以为用不了,服务器端是c#或者netty。 证书准备: 服务器端用到的是server.pfx+ca.pfx 客户端用到的是client.pfx+ca.pfx 服务器端与Android端都是使用netty 获取sslcontex public SSLContext getClientSSLContext(){ try { SSLContext sslContext;
Android中实现ping功能的几种方法
恬静释然的博客
03-17 5621
使用java来实现ping功能。 并写入文件。为了使用java来实现ping的功能,有人推荐使用java的 Runtime.exec()方法来直接调用系统的Ping命令,也有人完成了纯Java实现Ping的程序,使用的是Java的NIO包(native io, 高效IO包)。但是设备检测只是想测试一个远程主机是否可用。所以,可以使用以下三种方式来实现: 1. Jdk1.5的InetAddresss...
Android安全开发之安全使用HTTPS
zhangmiaoping23的专栏
10-08 5334
Android安全开发之安全使用HTTPS 作者:伊樵@阿里聚安全 1、HTTPS简介 阿里聚安全的应用漏洞扫描器中有证书弱校验、主机名弱校验、webview未校验证书的检测项,这些检测项是针对APP采用HTTPS通信时容易出现风险的地方而设。接下来介绍一下安全使用HTTPS的相关内容。 1.1 为何需要HTTPS HTTP协议是没有加密的明文
Android https ssl证书配置(使用okhttp)
天盟 - 技术博客 - Eamon
08-30 8485
本文介绍使用okhttp时配置https证书的用法,关于证书的原理和SSL协议本文不做介绍,需要的同学自行查阅。https证书常见的错误用法是信任所有证书,https证书在移动应用中常见的问题是证书过期但客户端无法及时更新的问题。本文列举了几种配置方法,并做简单总结: 1、验证系统中信任的根证书(默认) 不适合自颁发的证书(12306.cn) 也会存在中间人劫持问题,只要有从信任...
绕过安卓SSL验证证书的四种方式
omnispace的博客
02-04 1万+
在此之前,移动端应用程序会直接忽略掉所有的SSL错误,并允许攻击者拦截和修改自己的通信流量。但是现在,很多热门应用程序至少会检查证书链是否是一个有效可信任的证书机构(CA)颁发的。 作为一名渗透测试人员来说,我们常常需要让目标应用程序信任我们的证书是有效的,这样我们就可以进行中间人攻击(MITM)并修改其流量了。在这篇文章中,我们将给大家介绍四种绕过Android SSL验证的方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值