使用SSL Pinning 阻止中间人攻击

最新推荐文章于 2022-11-18 14:00:15 发布
最新推荐文章于 2022-11-18 14:00:15 发布
阅读量1.4k 收藏 3
点赞数
文章标签: java python javascript ViewUI
原文链接:https://juejin.im/post/5cf0d193f265da1b8e7085a8
版权

问题:

我们可以使用Charles抓https的包,原理是利用中间人攻击,所以app的请求并不是安全的。怎样避免Charles抓https的包呢?答案是:SSL Pinning

中间人攻击的原理

伪造信任证书,对客户端充当服务器,对服务器充当客户端。

SSL Pinning 的原理

在客户端内置服务器的证书或者公钥,客户端连接服务器时,对比内置证书或公钥是否与服务器的证书或公钥一致,不一致则断开连接。这样就可以让中间人伪造的证书无法通过验证。

SSL Pinning 的类型
  1. 内置证书
    将证书放入app的bundle里。服务器的证书修改或者过期时需要同步更新app。
  2. 内置公钥
    将证书的公钥硬编码进代码里。只要服务器的公钥不变,就不用更新app。
在Alamofire 5 中使用 SSL Pinning

提供了两个类:

  • PinnedCertificatesTrustEvaluator
  • PublicKeysTrustEvaluator

PinnedCertificatesTrustEvaluator为例:

  1. 获取证书数据
struct Certificates {
  static let stackExchange =
    Certificates.certificate(filename: "stackexchange.com")
  
  private static func certificate(filename: String) -> SecCertificate {
    let filePath = Bundle.main.path(forResource: filename, ofType: "der")!
    let data = try! Data(contentsOf: URL(fileURLWithPath: filePath))
    let certificate = SecCertificateCreateWithData(nil, data as CFData)!
    
    return certificate
  }
}
复制代码
  1. 构建session
// 1
let evaluators = [
  "api.stackexchange.com":
    PinnedCertificatesTrustEvaluator(certificates: [
      Certificates.stackExchange
    ])
]

let session: Session

// 2
private init() {
  session = Session(
    serverTrustManager: ServerTrustManager(evaluators: evaluators)
  )
}
复制代码
参考资料

Preventing Man-in-the-Middle Attacks in iOS with SSL Pinning

转载于:https://juejin.im/post/5cf0d193f265da1b8e7085a8

weixin_34291004
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSL Pinning 证书双向认证 抓包抓不到问题分析
Vdieoo的博客
01-14 2084
问题背景:微信小程序按照正常流程抓包失败,会在burp中提示,部分银行app抓包连接超时,也会出来提示,现在大部分app之类的都会自签证书+应用内验证(单向认证)或当服务器启用了证书双向认证之后,除了客户端去验证服务器端的证书外,服务器也同时需要验证客户端的证书,也就是会要求客户端提供自己的证书,如果没有通过验证,则会拒绝连接,如果通过验证,服务器获得用户的公钥。(双向校验) 解决: 安卓 对于Android 7.0 (API 24) 之后,做了些改动,使得系统安全性增加了,导致: ..
如何进行https中间人攻击
03-16
4. **使用安全措施**:企业可以通过使用HSTS(HTTP Strict Transport Security)来防止DNS欺骗,同时使用PINning技术,使设备只信任特定的证书或证书颁发机构,降低中间人攻击的风险。 5. **安全策略**:服务器端应...
某音短视频APP 最新版(21.8)SSL PINNING 绕过
Sajor的博客
05-12 9835
某音短视频APP 最新版 21.8 抓包方案
关于代理抓包,ssl pinning解决方案
weixin_44154094的博客
09-03 8231
抓包 代理抓包 Fiddler, charles能抓http/https/websocket属于应用层 优点:配置简单,抓取解析ssl方便 缺点:app对代理抓包的检测越发厉害 https: http是明文传播,易被修改,易被拦截,网页弹广告 https实在http基础上加了一个安全层 https特点: 数据加密,不再明文传播 使用数字证书(CA Certificate Authority)做身份校验,防止数据被截获,只有合法证书持有者才能读取数据 数据完整性,防止数据被篡改,对数据做签名 HTTP O
Alamofire 5.0 双向认证
xo19882011的专栏
05-26 1249
双向认证分为两方向的认证: 客户端认证服务端; 服务端认证客户端; 以下逐个说明: 认证服务器 认证服务器分为: DefaultTrustEvaluator,使用默认的验证方式,验证证书的有效性,证书信任链那套 RevocationTrustEvaluator,验证证书是否被吊销 PinnedCertificatesTrustEvaluator,验证证书是否同本地的一致,可以是自签证书 PublicKeysTrustEvaluator,验证证书的公钥,可以是自签证书,不过这个有个好处就是不用关心证书的
sslpinning实战
碎片的博客
11-18 2475
知己知彼,百战不殆。看看证书绑定是怎么实现的!
还不知道ssl-pinning是啥?那你Out了!
zxj1986cszxj1986cs的博客
07-30 1240
导航发现问题HTTPS中间人攻击ssl-pinning突破ssl-pinning总结 发现问题 在使用charles对FaceBook/Twitter进行抓包时,所有的请求最终都失败了。第一感觉是手机上安装的HTTPS证书被删除了,到设置中检查发现证书没有问题,手机上其它APP的https请求也能够正常抓取。看来应该是碰到新情况了,Google了下,了解到FaceBook/Twitter等应用使用了一种名叫ssl-pinning的技术来防止中间人攻击。 HTTPS 这张图比较形象地道出了HTTPS实际上是
Android-SSl.zip_WebView_android_sentencevpr_sslpinning_todayrxi
09-15
总的来说,SSL Pinning是增强`WebView`安全性的重要手段,能够有效防御中间人攻击,确保用户数据的隐私和安全。在Android应用开发中,尤其是在处理敏感信息时,SSL Pinning的实施是必不可少的。通过学习和使用这个...
中间人
02-21
4. **防止证书 Pinning**:证书固定是一种安全策略,它将特定的证书或证书指纹与特定的服务器关联,防止中间人使用伪造证书。C++开发者可以利用此技术加强安全性,但要谨慎处理,避免因证书更新导致的意外断连。 5....
Estudo-Java:做中间人
03-17
2. 使用SSL Pinning:固定应用所信任的服务器证书或公钥,即使攻击者伪造了CA,也无法欺骗应用。 3. 定期更新信任的CA证书:随着新的威胁出现,CA可能会撤销某些证书,因此定期更新信任库至关重要。 4. 用户教育:...
SSLPinningDemo
05-28
iOS SSL Pinning防止中间人攻击
trainningMiddleman:中间人应用电话簿
05-23
中间人攻击是一种网络攻击形式,攻击者在两个通信方之间插入自己,使得两者都认为他们正在直接与对方通信,而实际上所有的数据都经过了攻击者的处理。这种攻击方式可以用于窃取敏感信息、篡改传输数据或实施其他恶意...
iOS SSL Pinning防止中间人攻击
AI架构师易筋
10-20 3139
系统: Mac OS 10.14.6, XCode 11,swift 5.0 写作时间:2019-10-18 说明 黑客攻击App,其中一种常用方式是绕过 SSL/TLS (Secure Sockets Layer/Transport Layer Security) 的加密方式。虽然SSL/TLS 的传输过程是加密的,但是还可能被中间人攻击。 注释:这个图是server 到 App单向的,实际上...
iOS Authentication Challenge 全解析
iOS_开发
02-15 4212
作者 | Danie1s来源 | 掘金来源公众号丨知识小集(zsxjtip)概述在 iOS 中进行网络通信时,为了安全,可能会产生认证质询(Authentication Challen...
ssl实现_如何快速实现ssl固定
weixin_26735419的博客
09-26 422
ssl实现Privacy — like eating and breathing — is one of life’s basic requirements. 饮食和呼吸等隐私是生活的基本要求之一。 — Katherine Neville —凯瑟琳·内维尔 Nearly every iOS app communicates with servers to retrieve informatio...
爬虫技术必会技能,不知道ssl-pinning是啥?那你Out了!
qq_38780765的博客
07-30 1694
导航发现问题HTTPS中间人攻击ssl-pinning突破ssl-pinning总结 发现问题 在使用charles对FaceBook/Twitter进行抓包时,所有的请求最终都失败了。第一感觉是手机上安装的HTTPS证书被删除了,到设置中检查发现证书没有问题,手机上其它APP的https请求也能够正常抓取。看来应该是碰到新情况了,Google了下,了解到FaceBook/Twitter等应用使用了一种名叫ssl-pinning的技术来防止中间人攻击。 HTTPS 这张图比较形象地道出了HTTPS实际上是
手机app抓包https请求信息,解决SSL Pinning验证
Yunwubanjian的博客
04-16 1万+
抓包工具: Charles,fiddler,wireshark 其中,前两个用于抓取https请求,wireshark则是包含tcp/udp在内的所有请求,本文中以Charles为例 或者移动端(Android)安装:packet capture packet capture 安装使用教程: https://mp.weixin.qq.com/s/JxJWZk-uMMjLcLQFTQ7th...
HTTPS及HTTPS中间人攻击
weixin_34041003的博客
08-01 274
HTTPS及HTTPS中间人攻击,全站HTTPS正在称为潮流趋势,国内实现全站https的有淘宝和百度两家。 一、https的作用 C I A:机密性,完整性,可用性(可用性是合法用户可以访问自己有权限访问的资源) 解决的是信息传输中数据被篡改、窃取 加密:对称、非对称、单向 二、https工作原理 https的工作原理还是有必要研究下的(原理我也是从...
如何使用Xposed+JustTrustMe来突破SSL Pinning
热门推荐
iqiqiya的博客
05-07 2万+
如何使用Xposed+JustTrustMe来突破SSL Pinning 本文由看雪论坛 etlpom 原创,原文链接:https://bbs.pediy.com/thread-226435.htm0x00 前面      如果你是一干Web安全的,当你在测试目前大多数的手机APP应用程序时,你一定遇到过burpsuite无法抓到数据包的情况,开始你以为只是https的问题,但是当你使用了burp...
so层修改sslpinning
最新发布
07-27
SO层修改SSL pinning是指在操作系统的系统调用层面对SSL pinning进行修改。SSL pinning是一种安全机制,用于保护网络通信的安全性。 在SO层修改SSL pinning可以通过修改系统库或者Hook相关API来实现。一种常见的方法是通过Hook函数来修改SSL pinning的检查逻辑,绕过证书校验,从而绕过SSL pinning的保护。 具体实现的步骤如下: 1. 定位到SSL pinning相关的检查函数,常见的包括SSL_CTX_set_verify、SSL_get_verify_result等函数。 2. 使用Hook技术,在函数调用之前或之后注入自定义的代码逻辑。 3. 在Hook的代码逻辑中,可以修改函数的返回值或者控制流程,绕过SSL pinning的检查,实现信任任意证书。 4. 重新编译并替换系统库,或者使用LD_PRELOAD等机制加载修改后的共享库。 需要注意的是,修改SSL pinning可能会导致网络通信的不安全性,可能会使应用程序容易受到中间人攻击。因此,修改SSL pinning应该谨慎并且仅在合法的测试环境中使用。 总结来说,SO层修改SSL pinning是一种通过在系统调用层面修改相关API的实现方式,来绕过SSL pinning保护。但需要注意潜在的安全风险,并在合适的场景下使用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值