背景 之前工作的经历,前面技术团队的APP使用了SSL-PINNING,服务器SSL证书到期前,测试环境更换证书,在更换配置OK后,发现APP停止服务了.所有的请求全部都失败. 后来查到是APP使用了SSL-PINNING. 也就是SSL-PINNING证书到期后会导致APP拒绝服务. 改进 1. 其实,我们除了内置服务器自己的证书,也可以内置厂商中间证书.比如 像这份GeoTrust RSA CA 2018中间证书是2027年到期.一般的APP是不会10年了还可以不改版继续使用的.但假设发生一…

SSL pinning在构建一个高度安全的移动APP上扮演了一个十分重要的角色.然而如今好多用户在使用无线移动设备去访问无数不安全的无线网络. 这篇文章主要覆盖了SSL pinning 技术,来帮助我们处理最常见的安全攻击--中间人攻击(MITM). SSL(Secure Socket Layer 安全套接字层)确保客户端-服务器在HTTP请求的方式上将通讯内容加密----被指定为HTTPS(SSL上的HTTP).这种加密体系是基于PKI(Pbulic Key Infrastructure,公钥…

随着互联网的发展,网站全面 https 化已经越来越被重视,做为 App 开发人员,从一开始就让 API 都走 SSL 也是十分必要的.但是光这样就足够了吗? SSL 可以保护线上 API 数据不被篡改,但是防不了别有用心的发现你们 API,然后写脚本做一些事情.   Charles 的 SSL 代理 具体如何查看 SSL 的请求呢?可以使用 Charles 的 SSL 代理功能. 准备工作 下载安装最新版的 Charles(https://www.charlesproxy.com/),点开 H…

0x00 前面 如果你是一干Web安全的,当你在测试目前大多数的手机APP应用程序时,你一定遇到过burpsuite无法抓到数据包的情况,开始你以为只是https的问题,但是当你使用了burpsuite伪证书也无法抓取到时,你心里除了有句“MMP……”外,你一定也在思考这其中的蹊跷. 为什么https的网站使用伪证书可以抓到,而在app里面同样的方法就抓不到?答案是:app启用了SSL Pinning(又叫“ssl证书绑定“). HTTPS的原理你必然懂,在建立ssl通道的过程中,当客户端向服务…

原文:https://blog.csdn.net/lyd135364/article/details/52179426 都是由于ihs配置中支持不推荐使用的ssl版本和弱密码套件引起的. 只要在配置文件中禁用sslv2,sslv3和申明使用的非弱密码套件即可,在/opt/IBM/HTTPServer/conf目录下的httpd.conf配置文件添加一下代码 # Example SSL configuration which supports SSLv3 and TLSv1# To enable…

"想要解决一个问题,最根本方法的就是了解这一切是如何工作的,而不是玄学." --ASCII0X03 最近学习发现现在很多现成的安卓SSL中间人工具和教程都只针对HTTPS流量,比如注册为安卓VPN的Packetcapture,以及设置http代理来抓包的Fiddler.他们对于分析http流量都很好,但是遇到局域网通信或者非HTTPS流量如MQTT,就无能为力了.因此,特利用双网卡和mitmproxy神器(叫做神器是有原因的,这应该是做中间人最好的工具了,可满足各种需求)搭建了一个支持…

一般来讲如果app用了web service , 我们需要防止数据嗅探来保证数据安全.通常的做法是用ssl来连接以防止数据抓包和嗅探 其实这么做的话还是不够的.我们还需要防止中间人攻击(不明白的自己去百度).攻击者通过伪造的ssl证书使app连接到了伪装的假冒的服务器上,这是个严重的问题! 那么如何防止中间人攻击呢? 首先web服务器必须提供一个ssl证书,需要一个 .crt 文件,然后设置app只能连接有效ssl证书的服务器. 在开始写代码前,先要把 .crt 文件转成 .cer 文件,然后在…

APP逆向神器之Frida[Android初级篇] https://juejin.im/post/5d25a543e51d455d6d5358ab 说到逆向APP,很多人首先想到的都是反编译,但是单看反编译出来的代码很难得知某个函数在被调用时所传入的参数和它返回的值,极大地增加了逆向时的复杂度,有没有什么办法可以方便地知道被传入的参数和返回值呢? 答案是有的,这个方法就是Hook,Hook的原理简单地说就是用一个新的函数替代掉原来的函数,在这个新的函数中你想做什么都可以,为所欲为. 本文中的Fr…

背景 当你测试App的时候,想要通过Fiddler/Charles等工具抓包看下https请求的数据情况,发现大部分的App都提示网络异常/无数据等等信息.以"贝壳找房"为例: Fiddler中看到的请求是这样的: 你可能开始找证书的问题:是不是Fiddler/Charles的证书没有导入的手机中去?配置一遍又一遍,又开始对比web端浏览器的https发现没问题.这时候你可能已经开始怀疑人生了. 那么究竟是不是证书的问题? 没错,就是证书的问题,但跟你想象中的证书有点不同,不是Fidd…

前言 [转载]http://alvinhu.com/blog/2013/06/12/creating-a-certificate-authority-and-signing-the-ssl-certificates-using-openssl-in-iis8/ 最近在为新的iOS app考虑安全机制,第一个进入脑海里的就是HTTPS和SSL.所以研究了一下Windows服务器下IIS部署HTTPS和证书的方法,以及如何让app与server进行安全的信息交互. 由于网上千篇一律的只是教大家怎么怎…