如何在Android中实现未绕过的SSL固定

时间:2018-08-02 10:16:12

标签: android ssl openssl ssl-certificate

我正在实施SSL固定的地方开发财务。我的软件测试团队绕过了我的SSL固定方法。如何在Android中实现复杂的SSL固定方法。

2 个答案:

答案 0 :(得分:0)

我认为有一些解决方案:

  • 反重新打包您的apk:因为如果黑客想绕过SSL固定,他必须使用apktool重新打包您的apk。您可以通过检查apk签名来做到这一点,如果不匹配,请退出应用。

  • 将SSL固定代码移至NDK并构建.so lib以供使用,黑客可能很难修改.so文件以绕过。

答案 1 :(得分:0)

一般而言,有两种方法可以绕过SSL固定:

  • 试图避免SSL检查或更改结果,即返回 检查功能的值。为此,Frida是一种流行的工具。
  • 与证书相关的数据(如公钥)的操作是应用程序资产或在应用程序代码中

Here,您可以找到有关上述方法的更多说明。

要击败上述攻击,一种方法是对代码/字符串进行混淆。