我们已在iOS和Android平台上使用Trustkit在移动应用程序中实现了SSL固定。
我们的应用程序是在React-Native中构建的,我们遵循了this tutorial
让我描述一下每个平台上发生的事情
Android: 我的网络安全配置看起来像这样
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<domain-config>
<domain includeSubdomains="true">www.mydomain.com</domain>
<pin-set>
<pin digest="SHA-256">my_pin_1</pin>
<pin digest="SHA-256">my_pin_2</pin>
</pin-set>
<trustkit-config enforcePinning="true">
</trustkit-config>
</domain-config>
</network-security-config>
我从这里https://report-uri.com/home/pkp_hash获得了用作密码(my_pin_1)的PKP哈希值
根据Truskit-Android入门指南,我已覆盖OkHttpClient来实现Trustkit。
我通过设置错误的引脚进行了测试,在这种情况下,应用停止运行。
iOS: 我们实现Trustkit的方式相同。在iOS日志中,它显示SSL固定已实现并且正在工作。
问题: 仍然是我们应用的network requests are getting intercepted中的Burp suite software。这实际上使SSL固定的动机失效。
对此有何解决方法?