程序员经验分享-hwhale

适用于使用 SSL Pinning 的移动应用程序的 Charles Proxy

2024-02-13

Charles Proxy 网站评论说:

请注意,某些应用程序实施 SSL 证书固定,这意味着它们专门验证根证书。由于应用程序本身正在验证根证书,因此它不会接受 Charles 的证书,并且连接将失败。如果您已成功安装 Charles 根 SSL 证书并且可以在 Safari 中使用 SSL 代理浏览 SSL 网站,但应用程序失败,则 SSL Pinning 可能是问题所在。

可以确定的是,即使移动应用程序使用 SSL 证书固定,是否也可以使用像 Charles Proxy(或其他监视器)这样的 HTTP 监视器?


正如史蒂芬所说,您可能需要修补应用程序以禁用证书固定。 但大多数移动应用程序不使用它:) 因此您只需要启用 SSL 与自签名证书的连接。 Android 允许这样做 应用程序执行以下操作。第一的下载apk工具 //ibotpeaches.github.io/Apktool。然后解压APK文件 (根据 apktool 2.4.1):

java -jar apktool.jar d app.apk

Modify AndroidManifest.xml通过将此属性添加到application元素:

android:networkSecurityConfig="@xml/network_security_config"

创建文件res/xml/network_security_config.xml包含以下内容:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
   <base-config>
      <trust-anchors>
         <certificates src="system" />
         <certificates src="user" />
      </trust-anchors>
   </base-config>
</network-security-config>

生成签名 APK 的密钥:

keytool -genkey -alias keys -keystore keys -keyalg DSA

构建修补过的APK:

java -jar apktool.jar b app -o app_patched.apk --use-aapt2

签署APK文件:

jarsigner -verbose -keystore keys app_patched.apk keys

如有必要,将 APK 转换为 JAR 以便进一步分析:d2j-dex2jar.sh app.apk。 更多信息:网络安全配置 //developer.android.com/training/articles/security-config.

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

SSL

sslcertificate

charlesproxy

适用于使用 SSL Pinning 的移动应用程序的 Charles Proxy 的相关文章

  • 如何在 iOS 上固定证书的公钥

    在提高我们正在开发的 iOS 应用程序的安全性时 我们发现需要对服务器的 SSL 证书 全部或部分 进行 PIN 操作以防止中间人攻击 尽管有多种方法可以做到这一点 但当您搜索此内容时 我只找到了固定整个证书的示例 这种做法会带来一个问题

  • 信任库是否需要子 ca 证书?

    我正在尝试设置分层 PKI 我是否可以创建仅包含根 ca 证书的信任库 这是否意味着我的应用程序信任由子 ca 证书签名的证书 而子 ca 证书又由根 ca 签名 顺便说一句 您似乎必须提供整个证书链 包括根 ca 证书 当然 如果根 ca

  • 为什么我在尝试制作 .cer 进行测试时总是失败?

    我正在尝试制作用于测试的证书 并且我正在使用此网站如何 创建您自己的测试证书 http msdn microsoft com en us library ff699202 aspx作为有关如何操作的教程 但是当您创建密码后输入密码时 它在命

  • 如何在android网络库(ION)中使用自签名SSL?

    使用此网络库 https github com koush ion https github com koush ion 由于当前状态是开发 我想使用自签名 SSL 证书 图书馆论坛有一些讨论 https github com koush

  • 如何通过 TLS 1.2 运行 django runserver

    我正在本地 Mac OS X 机器上测试 Stripe 订单 我正在实现这段代码 stripe api key settings STRIPE SECRET order stripe Order create currency usd em

  • 我什么时候需要将“协商客户端证书”设置为启用?

    我可以选择支持客户端证书 这就是为什么我设置Client certificates to Accept在 IIS 上 这适用于大多数机器 然而 在某些机器上 IIS 返回 500 这可以通过设置来 解决 Client certificate

  • 无法使用 OpenSSL 验证服务器证书

    我已经使用 OpenSSL 编写了一个 SOAP 客户端 在 Ubuntu 12 04 上用 C 编写 但它目前无需检查服务器安全证书即可运行 这是我用来设置连接和检查证书的函数 bool bInitialiseSSL SSL CTX ct

  • 在Java中使用没有密码的p12文件

    尽我所能 我不知道如何使用 p12Java 中没有密码的文件 我尝试过设置javax net ssl keyStorePassword to 但无论我做什么 我都会收到以下 SSL 错误 HTTP 传输错误 javax net ssl SS

  • 出站连接的 SSL 配置在 websphere-liberty 17.0.0.2 中不起作用

    我正在尝试将 websphere liberty 服务器配置为对所有出站连接 实际上是 REST 调用 使用默认密钥库和 trustore 对于入站连接使用自定义密钥和信任库 但当尝试调用外部 REST 服务时 它会失败并出现 SSLHan

  • JavaMail Gmail 问题。 “准备启动 TLS”然后失败

    mailServerProperties System getProperties mailServerProperties put mail smtp port 587 mailServerProperties put mail smtp

  • Perl LWP GET 或 POST 到 SNI SSL URL

    我有一个使用 perl LWP 向客户发送数据的系统 他们可以选择 URL 以及是 POST 还是 GET 一位新客户最近抱怨该服务不起作用 他们怀疑这是因为他们的端点使用了 SNI SSL 查看日志 我看到的只是错误消息 证书验证失败 5

  • Azure 共享计划上的 SSL?

    我有 1 个网站 1 个数据库和 1 个 SSL 托管在 azure 上 我曾经拥有 基本 托管套餐 但每个月要支付 70 美元才能获得基本设置 并且所有内容都具有最小的缩放比例 我意识到我的低流量站点不需要专用计算机 因此我尝试转向共享计

  • 使用ssl和socket的python客户端身份验证

    我有一个 python 服务器 需要客户端使用证书进行身份验证 我如何制作一个客户端脚本 使用客户端证书由 python 中的服务器使用 ssl 和套接字模块进行身份验证 有没有仅使用套接字和 ssl 而不扭曲的示例 from OpenSS

  • 无法将 /root/.rnd 加载到 RNG 中

    我想使用 Windows Open SSL 生成服务器证书 当我运行此命令行时 出现此错误 我应该怎么办 Command openssl req new x509 days 3650 key ca key out ca crt Error

  • SSL 速度:128 位与 256 位

    我决定使用 SSL 加密我的整个网站 即使实际上只有部分网站是必要的 最终结果是该网站现在有点慢 所以 我的问题是 我是否应该只加密网站的会员部分 请记住我在首页上有登录表单 我是否应该将加密降低到 128 位 如果站点总体较小 速度差异是

  • 56 CONNECT 后收到来自代理的 HTTP 代码 403?

    使用 cUrl 从我的网页生成销售人员线索时 出现 56 在 CONNECT 后从代理接收到 HTTP 代码 403 错误 该网站的 SSL 证书已过期 UPDATED 我的代码如下 curl setopt curl CURLOPT URL

  • 从 SSLv3 迁移到 TLSv1

    对于 POODLE SSLv3 现已在服务器上禁用 客户端软件是在 NET 2 0 中开发的 并提供 TLSv1 作为唯一的替代方案 我有权并有能力更改客户端应用程序和服务器配置 ServicePointManager SecurityPr

  • https登录的安全性?

    我正在编写一个 Apple iOS 应用程序 用于登录帐户并获取一些余额 它使用纯 html 链接进行登录 用户名和密码在运行时动态加载到登录链接 我使用 Wireshark 嗅探了流量 但在发送的任何包中都找不到用户名或密码 我猜 htt

  • 使用客户端 hello 消息进行 TLS 协议检测

    我需要检测网络流量中的 https 数据包 到目前为止 我将所有 443 标记为 https 但我不想再在这种情况下使用端口信息 检查客户端问候消息是否足够 Check 22 and version info 0300 0301 or 03

  • Nitrous.IO 上的 HTTPS (TLS/SSL) 服务器

    请问如何在 Nitrous IO Boxes 上创建 TLS 服务器 我认为我至少必须获得 cert pem 和 key pem 或类似的东西 根据您所在的区域 您可以自动获得 SSL 身份验证 这样就够了吗 http help nitro

随机推荐

  • 桥接表 - DAX 还是 M?

    我们应该使用 DAX 还是 M 构建桥接表 图片盗自here https stackoverflow com questions 53320431 power bi weighted average yield across 2 table

  • Magento SOAP v1 与 v2 性能对比

    我正在使用 VB NET 来处理 Magento API 我成功地使用了 SOAP v1 直到遇到需要关联数组的调用 经过一天左右的运气不佳后 我决定尝试 v2 它拥有我需要的所有对象 v2 可以工作 但是非常非常慢 要更新一个库存商品库存

  • SQL 查询以获取主管层次结构列表。员工-->主管-->主管

    我有两个表 员工 和 部门 该图像显示了每个员工的经理 我想编写一个 SQL 查询 为我提供所有主管 经理 经理的经理 的列表 我只想要一个列 在给定特定员工时显示主管列表 例如 如果我给员工 id 202 那么我应该收到 200 130

  • 如何查询位于不同数据库中的表?

    我最初的问题是关于是否将 ASPNETDB MDF 与应用程序数据库分开 或者将所有表合并到一个数据库中 检查之前的问题 答案 我了解到这取决于会员数据是否会在多个应用程序之间共享 现在 我的问题是这样的 如果我决定将 ASPNETDB M

  • MinGW的ld无法对非PE输出文件执行PE操作

    我知道还有一些其他类似的问题 无论是否是 StackOverflow 我为此进行了很多研究 但仍然没有找到单一的解决方案 我正在做一个操作系统作为一个业余项目 我一直在汇编中完成所有工作 但现在我想加入 C 代码 为了测试 我制作了这个汇编

  • 如何基于 Func 将 IObservable 窗口/缓冲为块

    给定一个类 class Foo DateTime Timestamp get set 和IObservable

  • 如何调整UIToolBar左右内边距

    我使用代码创建一个 UIToolbar 使用界面生成器创建另一个 UIToolbar 但是 发现两个工具栏的左右填充不同 如下所示 从界面生成器 来自代码 UIImage buttonImage UIImage imageNamed but

  • 使用捆绑器时在 gemspec 中声明开发依赖项仍然有用吗?

    我正在研究一种新的红宝石宝石 我熟悉使用 Bundler 来管理 gem source https rubygems org gemspec gem rspec rails 我熟悉在 gemspec 文件中指定依赖项 Gem Specifi

  • 2D 数组上的 Numpy 滚动窗口,作为以嵌套数组作为数据值的 1D 数组

    使用时np lib stride tricks as strided 如何使用嵌套数组作为数据值来管理 2D 数组 有更好的吗高效的方法 具体来说 如果我有一个 2Dnp array如下所示 其中一维数组中的每个数据项都是长度为 2 的数组

  • 捕获 C# 中存储过程的错误

    我有一个存储过程 用于在登录期间验证用户 如果成功 它会返回用户实体 效果很好 我的问题是 如果它不起作用 我会在 SP 中提出错误 如何捕获此错误并以最佳方式使用它 现在我得到了 nullreference 这是代码 存储流程 ALTER

  • 浮动div两列布局空白

    我有 X 个帖子 每个帖子都有固定的宽度和未知的高度 并希望它们位于单个 div 包装器中的两列中 但是 当我将它们全部放在左侧浮动时 就会发生这种情况 如何删除空格 在偶数块中添加clear right 在奇数块中添加clear left

  • 我可以使用 KIF 检查屏幕上是否存在视图吗?

    我正在执行 每个步骤之前 并且我想要执行注销步骤 我找不到任何关于在尝试触摸某个元素之前检查它是否存在 然后如果它不存在则执行其他操作的内容 是否可以使用 KIF 执行此操作 而无需引用我要检查的对象 就像是 if tester eleme

  • 将操作数xpath断言表达式与soapUI中的预期结果进行比较

    我正在使用soapUI 5 非专业版 我需要的只是验证 断言 预期结果部分中的数字大于零 所以这意味着 1 在XPath表达式 Xpath匹配 中我声明以下内容 我需要删除所有文本并且只有数字然后检查数字是否大于零 replace OUTB

  • Android - 强制取消AsyncTask

    我在我的活动之一中实现了 AsyncTask performBackgroundTask asyncTask new performBackgroundTask asyncTask execute 现在 我需要实现 取消 按钮功能 因此我必

  • Java 中的有符号字节类型和按位运算符?

    引用自甲骨文网站 http docs oracle com javase tutorial java nutsandbolts datatypes html byte 字节数据类型是8位带符号的二进制补码整数 最小值为 128 最大值为12

  • 从我的 Ruby 应用程序构建 Windows 可执行文件?

    我希望能够向一些同事发送 Ruby 应用程序 而不要求他们安装 Ruby 解释器 最好是单个 exe 我用谷歌搜索并找到了 RubyScript2Exe 您对此有什么经验 还有其他这样的工具或者有比构建 exe 更好的方法吗 我已经使用了大

  • R中的循环:如何保存输出?

    我正在尝试保存逻辑测试循环中的数据 所以我有以下数据 T1 lt matrix seq from 100000 to 6600000 length out 676 26 26 a matrix of 26X26 here with illu

  • Python字典-二分查找一个键?

    我想编写一个像字典一样的容器类 实际上派生自字典 该结构的键将是日期 当使用键 即日期 从类中检索值时 如果该日期不存在 则使用该键之前的下一个可用日期来返回该值 以下数据应该有助于进一步解释这个概念 Date key Value 2001

  • 使用 AudioWorklet 传输捕获的音频时如何防止中断/不稳定/故障?

    我们一直在开发基于 JavaScript 的音频聊天客户端 该客户端在浏览器中运行并通过 WebSocket 将音频样本发送到服务器 我们之前尝试使用 Web Audio API 的 ScriptProcessorNode 来获取样本值 这

  • 适用于使用 SSL Pinning 的移动应用程序的 Charles Proxy

    Charles Proxy 网站评论说 请注意 某些应用程序实施 SSL 证书固定 这意味着它们专门验证根证书 由于应用程序本身正在验证根证书 因此它不会接受 Charles 的证书 并且连接将失败 如果您已成功安装 Charles 根 S

热门标签