问题标签 [sslpinning]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
android - 是否可以在使用 SSLpinning 和安全网的应用程序上拦截应用程序 HTTPS 流量
我想知道这些天是否仍然可以代理/欺骗安全应用程序上的流量,例如麦当劳的应用程序。我使用这个例子是因为它是一个有很多证券的知名应用程序:
- 安全网检查
- 根检查
- 证书固定
- SSL 加密
- 代理感知
在android上,您可以根您的手机。使用 Magisk hide 使应用程序通过根检查,U 可以使用通用安全网修复程序仍然通过安全网。使用移动证书,您可以将代理证书安装到 android 上的系统证书中。如果您在透明模式下使用 mitmproxy,应用程序将不会意识到它被代理了。但是仍然存在证书固定...为此,有诸如 TrustmeAlready (EdXposed) 和 SSLUnpinning 或 Frida 的通用 SSL 取消固定脚本之类的模块。后者要求我禁用应用程序的 Magisk 隐藏,因此根检查将失败,而前者也使应用程序无法启动(应用程序显示错误)。
是否有设置、工具和方法来成功代理流量而不引起应用程序抱怨?
ios - ios swift 动态更新 SSL 证书(.cer)文件
动态需要更新。我可以从 URL 下载证书并将其保存到文档目录。
我的问题是下载文件后需要保存到 App Bundle (Bundle.main.resourcePath) 目录中。
还是保存到文档文件夹,移动到 App Bundle 目录下?
c# - 使用带有 UWP(UAP 10.0)的 Window.Security.Cryptography.Cryptography.X509Certificates 进行 ssl 固定
我想在我的 UWP 应用程序上执行 ssl 固定。我的应用在 Visual Studio 2015 更新 3 上运行。我需要针对整个团队共享的根 CA 验证服务器证书。我无法获得 System.Security.Cryptography.X509Certificates 的参考,但不可用。请让我知道这里的替代方案。
我尝试了以下方法:
使用 Window.Security.Cryptography。使用 https 请求调用
- 我也有如上所示的 ServerCustomValidationRequested 回调:
- 我应该如何根据我们团队共享的根 CA 进一步验证服务器证书(args.ServerCertificate)。
swift - 带有即将过期的证书和新证书的 iOS Alamofire SSL Pinning
我的应用程序使用叶子证书实现 SSLPing。而且快到期了。
我研究并得到了答案:
在证书到期前的某个时间,发布一个新版本的应用程序,在 pin 列表中使用替换证书以及原始证书
如何将替换证书和原始证书添加到我的项目中?
我只需要添加一个具有任何名称的新证书,Alamofire 会检查我声明的所有证书文件,如果有任何匹配项,它会允许连接吗?谢谢
android - java.security.cert.CertPathValidatorException:找不到本机android的证书路径的信任锚
我试图将 SSL 固定到我的本机 android 应用程序,我正在使用下面的代码实现它。我在下面的代码中使用了 DER Encoded X.509 CERTIFICATE。也尝试使用 base 64 编码证书,仍然面临同样的问题。
实用程序类:
我们如何解决错误java.security.cert.CertPathValidatorException: Trust anchor for certification path not found。
android - 如何使用 Objection 在 android 应用程序中禁用 ssl pinning
我有一个简单的应用程序,我试图绕过它的 ssl pinning,但没有运气。已经做了android sslpinning disable但没用。
基于这篇文章https://blog.nviso.eu/2020/11/19/proxying-android-app-traffic-common-issues-checklist/然后我用来apktool反编译我的应用程序然后在所有 smali 类中搜索任何可能正在使用grep -ri "java/lang/String;\[Ljava/lang/String;)L" smali有 3 个 smali 文件进行固定,我在最后一个 smali 文件中找到了 okhttp3 的东西smali_classes3。
这是输出:
所以我创建了这个脚本hook2.js
并尝试使用反对注入它:
objection explore --startup-script hook2.js
我收到一个错误
我怎样才能正确注入这个或者我的脚本是错误的?
android - 原生Android应用程序中的SSL证书Ping不足
我已经在我工作的一个 android 应用程序中实现了证书锁定。以下是遵循的步骤。
- 将 .crt 文件隐蔽到 .bks 文件。
- 将 .bks 文件添加到项目结构中的资产文件夹中。
- 在 api 调用期间使用 trustmanagerfactory 加载上述文件。
安全审计员说这个实现很弱,很容易被 FRIDA 或任何其他绕过工具破坏。
有没有更好的方法来实现 SSL pining,使上述工具无法拦截网络调用。我当前实现的代码片段的图像
PS:使用 DefaultHTTPClient 进行 API 调用。
更新:在网络安全配置文件中添加了证书的公共哈希,但该工具能够绕过。
ios - React Native WebView 请求 IOS 上的 SSL pinning
我正在尝试在我的 react native 应用程序上应用 SSL pinning,我的应用程序是 SPA 应用程序的包装器。
我正在使用“Charles”对其进行测试并在 iphone 模拟器上运行。
出于某种原因,我无法让它工作,因为我可以看到包的有效负载
我所尝试的是将证书文件添加到 iOS 根目录中,据我所知应该可以正常工作。
我尝试安装 react native SSL pinning library
我尝试在 pliat 文件中添加域
关于如何实现这一点的任何想法?