繞過安卓SSL證書驗證的方法

繞過安卓SSL證書驗證的方法

在安全界打拼多年的人一定對對以前在運用安卓運用的時候會記憶猶新，比如比較重要的特點是比如你可以不用去關(guān)心所有的SSL錯誤，而且你可以隨意攔截和修改SSL的通信。但是從現(xiàn)在開始你不能這么做了，為什么呢？因為現(xiàn)在目前大多數(shù)的應(yīng)用程序都會檢查ssl證書驗證是否是由有效的可信SSL證書頒發(fā)機(jī)構(gòu)（CA）頒發(fā)的。作為測試人員的我們來說，我們的主要任務(wù)就是檢查這些證書是否有驗證方式，為此我選用了中間人攻擊（MITM）的方式來嘗試修改其通信。下面小編我介紹下可以繞過Android  SSL證書驗證檢查的技術(shù)：

1.將自定義的CA添加有信任一欄的區(qū)域中；

2.用自定義CA證書覆蓋在已經(jīng)封裝好的證書；

3.使用Frida  hook來繞過 SSL證書驗證；

4.自定義證書代碼逆向操作。

為什么我會選擇對移動應(yīng)用程序進(jìn)行SSL MITM？主要是因為為了查看和模糊移動應(yīng)用程序的網(wǎng)絡(luò)服務(wù)調(diào)用，我需要使用攔截代理（如BurpSuite或ZAP）。如果用代理來截住ssl通信的話，那么客戶端的ssl連接就會停止工作。默認(rèn)情況下，由Burp等工具生成的自簽名證書將沒有信任鏈，當(dāng)這個證書的驗證沒有辦法進(jìn)行的時候，那么這會導(dǎo)致所有的運用程序無法進(jìn)行，而不會通過不安全的渠道進(jìn)行連接。那么這些所有的的目標(biāo)都是為了讓移動應(yīng)用程序信任攔截代理提供的證書。

網(wǎng)站名稱：繞過安卓SSL證書驗證的方法
URL地址：http://www.muchs.cn/news27/203277.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設(shè)計公司、Google、網(wǎng)站策劃、網(wǎng)站改版、網(wǎng)站內(nèi)鏈、標(biāo)簽優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)