【发布时间】:2019-01-10 01:47:40
【问题描述】:
我正在开发一个金融应用程序,我在其中实施了 SSL 固定。我的软件测试团队绕过了我的 SSL pinning 方法。如何在android中实现复杂的SSL Pinning方法?
【问题讨论】:
标签: android ssl openssl ssl-certificate android-security
【发布时间】:2019-01-10 01:47:40
【问题描述】:
一般来说,绕过 SSL pining 有两种方法:
- 挂钩以避免 SSL 检查或更改结果,即返回 检查函数的值。为此,Frida 是一种流行的工具。
- 证书相关数据(如公钥)操作是应用程序资产或应用程序代码中的
Here,您可以找到有关上述方法的更多说明。
要击败上述攻击,一种方法是代码/字符串混淆。
【讨论】:
我认为有一些解决方案:
反重新打包你的apk:因为如果黑客想要绕过SSL pinning,他必须使用apktool重新打包你的apk。您可以通过检查您的 apk 签名来做到这一点,如果不匹配,请退出您的应用。
将您的 SSL pining 代码移至 NDK 并构建 .so 库以供使用,黑客可能更难修改 .so 文件以绕过。
【讨论】: