IOS开发SSL-Pining

已于 2024-06-05 15:19:28 修改
阅读量583 收藏 10
点赞数 13
文章标签: ios 网络协议 swift
于 2024-06-05 15:02:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55895596/article/details/139472696
版权

SSL

  • SSL(Secure Sockets Layer,安全套接层)是一种安全协议,用于在互联网上建立加密链接,确保数据在客户端和服务器之间安全传输。SSL 通过使用加密算法来保护数据不被未授权访问、篡改或拦截。

SSL链接步骤:

  • Client hello:浏览器会将"支持的加密组件"/"尝试连接到Host头"等信息发送给服务器, 并会附上一份随机生成的 session ticket1。

  • Sever hello:服务器收到浏览器发送来的 TLS 握手请求后, 存储浏览器发送的session ticket1, 然后根据发送来的 host 寻找对应的的服务器证书, 然后会将服务器证书, 服务器与浏览器妥协(均支持)的加密套件方法, 和一份随机生成的 session ticket2返回给浏览器.

  • Cipher spec:浏览器收到服务器返回的证书后, 会验证证书有效性。验证步骤大概如下:

    • 验证证书有效期

    • 验证证书域名

    • 验证证书吊销状态

    • 验证证书颁发机构, 如果颁发机构是中间证书, 在验证中间证书的有效期/颁发机构/吊销状态。一直验证到最后一层证书, 如果最后一层证书是在操作系统或浏览器内置, 那么就是可信的, 否则就是自签名

  • 若检查通过, 随机生成一份 session ticket 3 (这是浏览器生成的第二份 ticket), 通过返回证书中的公钥, 用协商的"秘钥交换算法"加密, 返回给服务器。

  • 浏览器和服务器用交换得到的密钥进行传输,对称加密算法。

  • session ticket3是无法窃取的

    • 攻击者在客户端和服务器建立中间代理,将两头的证书替换为自己的证书,但攻击者的证书不在信任列表中,因此两头都会警告。

SSL-Pinning

  • 证书锁定(SSL/TLS Pinning)顾名思义,将服务器提供的SSL/TLS证书内置到移动端开发的APP客户端中,当客户端发起请求时,通过比对内置的证书和服务器端证书的内容,以确定这个连接的合法性

  • 简单来说就是,在app代码指定证书/公钥,保证客户端和服务端的通信安全性和唯一性。但需要考虑有证书效期的问题。证书和公钥都是用摘要生成hash值

    • 证书锁定

      import Foundation

// 1. 准备证书文件,确保服务器证书在项目中可用
guard let serverCertificateURL = Bundle.main.url(forResource: "serverCertificate", withExtension: "der") else {
    fatalError("缺少服务器证书文件")
}

do {
    // 2. 从项目中读取证书文件
    let serverCertificateData = try Data(contentsOf: serverCertificateURL)
    let serverCertificate = SecCertificateCreateWithData(nil, serverCertificateData as CFData)

    // 3. 创建服务器信任策略
    let serverTrustPolicy = ServerTrustPolicy.pinCertificates(certificates: [serverCertificate], validateCertificateChain: true, validateHost: true)

    // 4. 配置 URLSession
    let configuration = URLSessionConfiguration.default
    configuration.serverTrustPolicy = serverTrustPolicy

    // 5. 创建 URLSession 对象
    let session = URLSession(configuration: configuration)

    // 6. 发起网络请求
    if let url = URL(string: "https://example.com") {
        let task = session.dataTask(with: url) { data, response, error in
            // 处理响应
        }
        task.resume()
    }
} catch {
    print("证书读取失败: \(error)")
}

    • 公钥锁定:避免证书过期

  • 公钥锁定:

    /// 对比服务器的公钥是不是官方公钥(青藤长连域名认为是官方链接)
for serverPublicKey in trust.publicKeys {
    for pinnedPublicKey in keys where pinnedPublicKey == serverPublicKey {
        security.evaluateTrust(trust: trust, domain: domain, completion: completion)
        return
    }
}

/// 证书不匹配直接中断连接,同时上报错误日志给服务器
let error = CFErrorCreate(kCFAllocatorDefault, "证书单向校验失败" as NSString?, ResponseErrorCode.unknown.rawValue, nil)
QTLogError(.webSocket, "\(String(describing: error))")
completion(.failed(error))

Richardol
关注
Android 开发中的SSL pinning
xiangzhihong8的专栏
12-17 920
在日常的安全渗透过程中,我们经常会遇到瓶颈无处下手,这时候如果攻击者从APP进行突破,往往会有很多惊喜。但是目前市场上的APP都会为防止别人恶意盗取和恶意篡改进行一些保护措施,比如模拟器检测、root检测、APK加固、代码混淆、代码反调试、反脱壳、签名校验等等对抗机制。而测试人员对APP进行渗透的首步操作通常就是上burp或者Charles这类抓包工具进行抓包,查看请求记录里的域名及链接地址是否可以进一步利用。我们都知道http协议传输的是明文信息,是可以直接捕获的,从而造成了数据泄露。
突破SSL Pinning进行抓包
SunJ3t的菠萝屋
09-26 4077
1. 前言 1. 遇到的问题 在做app渗透测试的时候遇到一个问题,就是在使用burpsuite或者stream在对app进行抓包时显示证书无效 2. 突破SSL Pinning 1. SSL Pinning SSL Pinning又叫SSL证书绑定,客户端在收到服务端的证书之后,对该证书进行强校验,验证该证书是否为客户端承认的证书,如果不是,则直接断开连接。也就造成了之前我遇到挂代理后显示网络...
iOS 防止抓包(SSL Pinning
heqiang2015的博客
12-05 7523
1、判断是否有网络代理(不推荐) 当进行网络请求的时候,客户端判断当前是否设置了代理,如果设置了代理,不允许进行访问,附带判断是否设置代理的代码: + (BOOL)getProxyStatus { NSDictionary *proxySettings = NSMakeCollectable([(NSDictionary *)CFNetworkCopySystemProxySettings...
iOS SSL Pinning 保护你的 API
weixin_34250434的博客
07-09 335
随着互联网的发展,网站全面 https 化已经越来越被重视,做为 App 开发人员,从一开始就让 API 都走 SSL 也是十分必要的。但是光这样就足够了吗? SSL 可以保护线上 API 数据不被篡改,但是防不了别有用心的发现你们 API,然后写脚本做一些事情。   Charles 的 SSL 代理 具体如何查看 SSL 的请求呢?可以使用 Charles 的 SSL 代理功能。 准备...
SSL Pining Mode 设置iOS SSL 连接安全
weixin_34168700的博客
12-19 162
一:SSL Ping Mode  使用SSL来进行网络通信成为了很多mobile app的默认选择。最近一些文章发现:一些app并没有采用“额外的措施”来保证窃听不可以发生:这个“额外的步骤“就是SSL Pinning。  iOSSSL连接默认是这样的,client 和server建立一个连接,server返回其 SSL证书。如果这个证书是被OS信任的证书机构签发,那么这个连接就正常进行下去...
iOS SSL Pinning防止中间人攻击
AI架构师易筋
10-20 3245
系统: Mac OS 10.14.6, XCode 11,swift 5.0 写作时间:2019-10-18 说明 黑客攻击App,其中一种常用方式是绕过 SSL/TLS (Secure Sockets Layer/Transport Layer Security) 的加密方式。虽然SSL/TLS 的传输过程是加密的,但是还可能被中间人攻击。 注释:这个图是server 到 App单向的,实际上...
APP渗透测试之IOS突破SSLPinning技术抓取HTTPS数据包
Delity的博客
01-26 3622
一、环境 手机型号:iPhone7 IOS版本:13.6.1 二、越狱 1.利用某思助手的一件越狱功能 等待电脑端跑完 2.然后手机上多了unc0ver,打开它然后点击Re-Jailbreak 一键越狱,期间会弹出信息提示,直接点击OK就可以了 注:需要在设置里面信任该软件 3.到出现界面(进度为 20/30)时,选择“OK”,此时设备会自动重启,重启后再点 jailbreak,直到出现越狱完成,再次点击 OK 即可 注:在越狱过程中,unc0ver 应用界面可能会出现以下广告,点击上方的“x”进行关
(APP测试三板斧)第二板:frida+一键hook脚本绕过SSL Pining
ggzhifeng的博客
07-27 3990
一、优缺点 优点: 比xp框架适用范围广,大部分软件都没有检测frida,能绕过绝大部分单向证书绑定。 缺点: 还是不适用双向证书,还是需要分析app包逆向分析证书密码。 二、步骤: 1.安装frida 客户端(PC) pip install frida pip install frida-tools 服务端(安卓手机) 在https://github.com/frida/frida/releases下载对应平台的服务端 然后解压,移动到Android设备 adb p..
SSL Pinning 证书双向认证 抓包抓不到问题分析
Vdieoo的博客
01-14 2156
问题背景:微信小程序按照正常流程抓包失败,会在burp中提示,部分银行app抓包连接超时,也会出来提示,现在大部分app之类的都会自签证书+应用内验证(单向认证)或当服务器启用了证书双向认证之后,除了客户端去验证服务器端的证书外,服务器也同时需要验证客户端的证书,也就是会要求客户端提供自己的证书,如果没有通过验证,则会拒绝连接,如果通过验证,服务器获得用户的公钥。(双向校验) 解决: 安卓 对于Android 7.0 (API 24) 之后,做了些改动,使得系统安全性增加了,导致: ..
(APP测试三板斧)第一板:Xposed+JustTrustMe绕过SSL Pining
ggzhifeng的博客
07-27 1213
一、优缺点 优点: 自动化,安装好即可,无需任何操作 缺点: 无法100%绕过,某些软件会检测环境是否有xp框架,存在就无法运行,一些xp隐藏插件隐藏效果并不好 二、步骤: 1.安装xp框架 XposedInstaller_3.1.5.apk https://github.com/rovo89/XposedInstaller https://repo.xposed.info/module/de.robv.android.xposed.installer 2.安装trus...
如何使用SSL pinning来使你的iOS APP更加安全
rigous的博客
05-24 1207
原文链接:https://www.cnblogs.com/zhanggui/p/5754977.html如何使用SSL pinning来使你的iOS APP更加安全  SSL pinning在构建一个高度安全的移动APP上扮演了一个十分重要的角色。然而如今好多用户在使用无线移动设备去访问无数不安全的无线网络。  这篇文章主要覆盖了SSL pinning 技术,来帮助我们处理最常见的安全攻击--中间...
iOS-SSL固定证书
最新发布
weixin_44836266的博客
05-09 1097
证书锁定(SSL/TLS Pinning)顾名思义,将服务器提供的SSL/TLS证书内置到移动端开发的APP客户端中,当客户端发起请求时,通过比对内置的证书和服务器端证书的内容,以确定这个连接的合法性。
使用iOS原生API实现异步SSL通信
03-18 901
前言通常SSL连接可以使用OpenSSL库来实现,但OpenSSL库体积比较大,完整动态库大小在2M左右。由于项目希望尽量控制iOS端应用包的大小,因此尝试使用iOS原生API实现SSL连接的功能。另外,工程中已经存在异步网络IO的框架,因此希望直接在当前的IO框架上实现SSL功能,而不是再引入另一个IO框架。总结总的来说,iOS下实现SSL通信能力非常简单,iOS提供的API在使用上和OpenS...
IOS网络编程】socket编程 - Asyncsocket
热门推荐
xuqiang918的专栏
11-21 2万+
iPhone的标准推荐是CFNetwork 库编程,其封装好的开源库是 cocoa AsyncSocket库,用它来简化CFNetwork的调用,它提供了异步操作       主要特性有:        队列的非阻塞的读和写,而且可选超时。你可以调用它读取和写入,它会当完成后告知你自动的socket接收。如果你调用它接收连接,它将为每个连接启动新的实例,当然,也可以立即关闭这些连接委
此ca根目录证书不受信任
Terisadeng的博客
10-27 2万+
如果请求的服务器是https协议的,没有将服务的证书导入请求方的信任列表库,会出现找不到可信任证书的报错,这时候需要浏览器打开请求的地址,点击地址栏左侧的锁或者三角,点击证书,点击第二栏,导出证书,选择base64格式。 导出证书后将证书上传到应用中配置的证书目录,然后执行下面的命令 keytool -import -alias client -file server.cer -keystore servertrust.keystore 其中的server.cer是请求的服务上导出的证书,serve
解决ios的https双向认证不能抓包问题
hqzxsc2006的专栏
08-01 1万+
一般来说,我们抓https包使用fiddler或charles,然后手机安装证书就可以抓包了,但是有时候我们抓某些app时候,一连上代理,却提示不能上网,明明可以上网,为啥app提示无网络,原因可能就是开启了https双向认证,客户端一般使用SSL Pinning防止中间人拦截攻击。我们可以使用ssl-kill-switch2绕过客户端的证书校验,就又可以愉快的抓包了。 ssl-kill-s
iOS访问https ssl和tls双向加密
标哥
11-15 1万+
关于https和ssl的原理,请到此处
手机app抓包https请求信息,解决SSL Pinning验证
Yunwubanjian的博客
04-16 1万+
抓包工具: Charles,fiddler,wireshark 其中,前两个用于抓取https请求,wireshark则是包含tcp/udp在内的所有请求,本文中以Charles为例 或者移动端(Android)安装:packet capture packet capture 安装使用教程: https://mp.weixin.qq.com/s/JxJWZk-uMMjLcLQFTQ7th...
关于代理抓包,ssl pinning解决方案
weixin_44154094的博客
09-03 8518
抓包 代理抓包 Fiddler, charles能抓http/https/websocket属于应用层 优点:配置简单,抓取解析ssl方便 缺点:app对代理抓包的检测越发厉害 https: http是明文传播,易被修改,易被拦截,网页弹广告 https实在http基础上加了一个安全层 https特点: 数据加密,不再明文传播 使用数字证书(CA Certificate Authority)做身份校验,防止数据被截获,只有合法证书持有者才能读取数据 数据完整性,防止数据被篡改,对数据做签名 HTTP O
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值