获得徽章 0
赞了这篇沸点
推荐文章: 🌟 🐢 Let’s write Swift code to intercept SSL Pinning HTTPS Requests - medium.com

来自编辑 @含笑饮砒霜 - chinafish.news 的简评:现在几乎绝大部分的 iOS App 都使用了 HTTPS 请求,这极大提升了我们使用的安全性,但也不意味着这就是绝对安全的。

如果想检查 iOS 应用中的 HTTPS 请求,最常用的方法就是中间人(MITM)攻击,这种技术需要使用某台主机作为代理服务器,为客户端提供服务。为了保证攻击成功,客户端需要将代理服务器的证书安装到设备的全局信任存储区中。这样处理后,客户端就会将证书添加到白名单中,允许与代理服务器之间的 HTTPS 通信。

如果想保护应用免受 MITM 攻击影响,可以使用 SSL 校验证书绑定,此时受信任服务器的证书副本会打包到 iOS 应用中,还有一些附加代码可以确保应用只与使用特定证书的服务器通信。当 SSL 证书绑定处于激活状态时,应用不会将任何请求发送到不受信任的服务器上。

即便如此,也依然可以绕过 SSL 证书绑定。也就是在具体请求通过受保护的 HTTPS 通道发送之前,尝试拦截这个请求,这需要将代码植入到应用中,这里会用到代码注入的相关知识。

如果想更细致的了解如何拦截 HTTPS 请求,本文不可错过,绝对深度好文。

更多优质内容,请查看本周周报:
展开
评论
个人成就
文章被点赞 121
文章被阅读 7,082
掘力值 279
收藏集
0
关注标签
23
加入于