我使用Charles检查将我的应用程序发送到HTTPS的数据。我在手机上安装了Charles CA证书,因此,我能够解密每个SSL流量。
但是我找到了应用程序,我无法看到SSL流量。如何将此行为实现到我自己的应用程序中?有了这个,没有人可以进行中间攻击。
答案 0 :(得分:4)
...我在手机上安装了Charles CA证书,因此,我能够解密每个SSL流量。
但是我找到了应用程序,我无法看到SSL流量。如何将此行为实现到我自己的应用程序中?有了这个,没有人可以进行中间攻击。
这可以通过证书/公钥固定来完成,您不必根据本地根证书检查服务器证书,而是确保您只获得预期的证书。有关详细信息和代码示例,请参阅OWASP。
答案 1 :(得分:4)
证书固定是你所追求的,但请注意,这样做并非没有缺点和复杂性。证书固定为您的系统增加了一层复杂性,这意味着在部署日会有更多工作,还有一件可能出错的事情。
使用证书锁定产生的一个典型错误是,后端团队会在发布更新时更新/更改/调整服务器证书,并忘记客户端正在使用证书固定,这基本上会将整个系统带到停了下来。
大男孩使用它的原因是为了掩饰他们的api,以便黑客/ leechers很难对他们的后端发出不请自来的电话。