2022-10-07 分类: 网站建设
绕过安卓SSL证书验证的方法
在安全界打拼多年的人一定对对以前在运用安卓运用的时候会记忆犹新,比如比较重要的特点是比如你可以不用去关心所有的SSL错误,而且你可以随意拦截和修改SSL的通信。但是从现在开始你不能这么做了,为什么呢?因为现在目前大多数的应用程序都会检查ssl证书验证是否是由有效的可信SSL证书颁发机构(CA)颁发的。作为测试人员的我们来说,我们的主要任务就是检查这些证书是否有验证方式,为此我选用了中间人攻击(MITM)的方式来尝试修改其通信。下面小编我介绍下可以绕过Android SSL证书验证检查的技术:
1.将自定义的CA添加有信任一栏的区域中;
2.用自定义CA证书覆盖在已经封装好的证书;
3.使用Frida hook来绕过 SSL证书验证;
4.自定义证书代码逆向操作。
为什么我会选择对移动应用程序进行SSL MITM?主要是因为为了查看和模糊移动应用程序的网络服务调用,我需要使用拦截代理(如BurpSuite或ZAP)。如果用代理来截住ssl通信的话,那么客户端的ssl连接就会停止工作。默认情况下,由Burp等工具生成的自签名证书将没有信任链,当这个证书的验证没有办法进行的时候,那么这会导致所有的运用程序无法进行,而不会通过不安全的渠道进行连接。那么这些所有的的目标都是为了让移动应用程序信任拦截代理提供的证书。
网站名称:绕过安卓SSL证书验证的方法
URL地址:/news27/203277.html
成都网站建设公司_创新互联,为您提供网页设计公司、Google、网站策划、网站改版、网站内链、标签优化
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
猜你还喜欢下面的内容