作者:iOS程序犭袁 前言: APNs 协议在近两年的 WWDC 上改过两次,2015年12月17日更是推出了革命性的新特性。但在国内传播的博客、面试题里关于APNs的答案全都是旧的、错的。正文: 对 APNs 的吐槽 APNs 是 Apple Push Notification service 的简称(注意 APNs 的大小写, s不需要大写)。 以下是我收集的一些关于 APNs 的吐槽,你先看
iOS SSL Pinning: 增强应用程序安全性的一种方法
## 介绍
随着移动应用程序的普及,保护敏感数据和用户隐私变得越来越重要。在iOS应用程序中,SSL Pinning(SSL固定)被广泛用于增强应用程序的安全性。本文将介绍什么是SSL Pinning,以及如何在iOS应用程序中实现它。
## 什么是SSL Pinning?
SSL Pinning是一种安全措施,用于防止中间人
原创
2023-12-25 07:07:58
580阅读
# iOS SSL Pinning: A Comprehensive Guide
## Introduction
Secure Socket Layer (SSL) or Transport Layer Security (TLS) protocols are widely used in mobile applications to establish secure communication
原创
2023-12-25 07:09:03
50阅读
在证书锁定SSL Pinning简介及用途文中我们介绍了SSL Pinning的概念和用途,和Android中的证书锁定一样,在IOS开发中,证书锁定也同样重要,通过内置证书公钥或证书以实现指定服务端与客户端通信的安全!IOS中主要有Swift原生开发和基于AFNetworking实现。1. 准备材料在证书锁定SSL Pinning简介及用途文中,我们以infinisign.com为
转载
2023-07-25 15:22:42
306阅读
# iOS 实现 SSL Pinning 的方法
在现代应用中,安全性是重中之重。而在网络通信过程中,确保数据传输的安全性尤为重要。SSL Pinning(SSL 证书固定)技术可以防止中间人攻击(MITM),提供更安全的 HTTPS 连接。本文将介绍 iOS 环境下如何实现 SSL Pinning,并附上代码示例,帮助开发者增强应用的安全性。
## 什么是 SSL Pinning?
SSL
原创
2024-09-21 05:47:18
396阅读
SSL pinning在构建一个高度安全的移动APP上扮演了一个十分重要的角色。好多用户在使用无线移动设备去访问无数不安全的无线网络。
SSL pinning在构建一个高度安全的移动APP上扮演了一个十分重要的角色。然而如今好多用户在使用无线移动设备去访问无数不安全的无线网络。 这篇文章主要覆盖了SSL pinning 技术,来帮助我们处理最常见的
转载
2023-06-19 16:13:51
128阅读
国内服务器绕过备案详细教程 国内服务器绕备案其实都是通过反代的方法来实现 1.首先我们了解到服务器的80端口与443端口web默认端口是:80SSL证书默认端口是:443国内服务器绑定域名后默认都是80 如果域名没有备案就会提示:未备案拦截!既然80、443端口绑定未备案域名会被拦截!那么我们就可以使用其它端口来实现访问!比如我们可以使用:81端口、123端口等等等等这里的端口你可以自定义即可!1
转载
2023-11-28 14:02:50
243阅读
随着互联网的发展,网站全面 https 化已经越来越被重视,做为 App 开发人员,从一开始就让 API 都走 SSL 也是十分必要的。但是光这样就足够了吗?
SSL 可以保护线上 API 数据不被篡改,但是防不了别有用心的发现你们 API,然后写脚本做一些事情。
Charles 的 SSL 代理
具体如何查看 SSL 的请求呢?可以使用
SSL Pinning是一种用于增强客户端应用程序(如移动应用或桌面应用)与服务器通信安全性的机制。它的主要目的是验证服务器的身份,防止中间人攻击(Man-in-the-Middle Attack,MITM)。在传统的SSL/TLS通信中,客户端依赖由受信任的证书颁发机构(CA)签发的证书来验证服务器身份。然而,如果攻击者控制了CA或获取了CA的私钥,他们可以签发伪造的证书,实施MITM攻击。SS
# iOS SSL Pinning获取证书的方案
SSL Pinning 是增强移动应用安全性的有效手段,通过固定特定的SSL证书避免中间人攻击。这种方法可以确保应用只信任预定义的证书,与服务器进行安全的通信。本文将以获取证书为主题,详细介绍如何在iOS中实现SSL Pinning,并提供代码示例。
## 1. 什么是SSL Pinning?
SSL Pinning 是一种在客户端中强制实施
随着互联网的发展,网站全面 https 化已经越来越被重视,做为 App 开发人员,从一开始就让 API 都走 SSL 也是十分必要的。但是光这样就足够了吗? SSL 可以保护线上 API 数据不被篡改,但是防不了别有用心的发现你们 API,然后写脚本做一些事情。 Charles 的 SSL 代理
转载
2018-07-09 16:01:00
238阅读
测试或者开发调试的过程中,经常会进行抓包分析,并且装上抓包工具的证书就能抓取 HTTPS 的数据包并显示。由此就产生了一个疑问,为什么抓包工具装上证书后就能抓到 HTTPS 的包并显示呢?不是说 HTTPS今天这篇文章就来探究下上面这个问题,要解释清楚这个问题,我会通过解答以下两个问题来讲述:HTTPS 到底是什么?抓包工具抓包的原理?HTTPS 到底是什么HTTP无状态(可以通过 Cookie
ssl pining Welcome to this series of articles about Android Security and how you can improve tremendously the protection of your users, by implementing 3 things that provide a great effort/safety rat
转载
2024-08-06 20:36:17
56阅读
SSL Pinning(SSL证书锁定)是一种安全机制,用于确保应用程序只与预期的服务器通信,防止中间人攻击。破解SSL Pinning通常是为了测试应用程序的安全性或进行安全研究。下面我将详细解释破解SSL Pinning的步骤和方法:1. 理解SSL Pinning的工作原理SSL Pinning通过将服务器的SSL证书或公钥嵌入应用程序中,确保应用程序在建立连接时验证服务器提供的证书是否与嵌
一个遇到的问题LeanCloud 的实时通信服务能实现类似客服机器人的功能,用户能自己提供一个 Web Hook 地址,有消息发给机器人的时候实时通信服务会将消息发到这个 Web Hook 上,用户从 Web Hook 收到消息之后能对消息进行解析和处理,构造出客服机器人的回答,再通过 REST API 发还给用户。从而用户能实现客服机器人自动应答功能。前些天,有个用户反馈说 Web Hook
转载
2024-01-11 14:11:09
90阅读
现在测试过程中有没有感觉遇到能直接抓包的APP,简直要拜菩萨,经常测试APP的心路历程是,欸,我的证书怎么又出问题了,重新导证书后,欸,怎么还是抓不到MMP…。为什么https的网站使用伪证书可以抓到,而在app里面同样的方法就抓不到?浏览器允许用户忽略证书告警;浏览器允许用户导入证书到证书信任区,从而伪造证书;也就是我们常用的burpsuite导证书操作,所以网站可以利用这种方式伪造
0x00 前面如果你是一干Web安全的,当你在测试目前大多数的手机APP应用程序时,你一定遇到过burpsuite无法抓到数据包的情况,开始你以为只是https的问题,但是当你使用了burpsuite伪证书也无法抓取到时,你心里除了有句“MMP……”外,你一定也在思考这其中的蹊跷。 为什么https的网站使用伪证书可以抓到,而在app里面同样的方法就抓不到?答案是:app启用了SSL P
转载
2024-05-17 19:27:40
82阅读
# Android 绕过 SSL Pinning 证书校验实现流程
## 1. 介绍 SSL Pinning
SSL Pinning 是一种安全机制,用于防止中间人攻击。在 SSL/TLS 握手过程中,客户端会验证服务器返回的证书是否是可信的,并校验证书中的公钥是否与预期匹配。通常情况下,客户端会使用操作系统或者第三方库提供的证书信任链进行校验。然而,有时候我们希望绕过证书校验,例如在进行应用
原创
2023-10-30 11:34:15
478阅读
0x01 前言随着移动应用的发展和推广,APP应用安全越来越受到重视。在APP中各类防抓包的机制的出现,让测试无法正常进行分析分析APP时都免不了抓包这一环节,想要抓到包就要看APP用的是什么通信协议。由于HTTP存在不安全性,当前大部分的APP基本采用HTTPS通信协议。许多时候安装 app 时 app 的自带证书就安置到了手机中,且此证书也存在在服务端,另外 app 的代码是开启了 SSL P
转载
2023-10-18 11:06:28
1840阅读
随意在安卓应用市场上下载了一个电子书app,发现还是有点东西的: Charles首次抓包报错如下: 第一反应就是有sslpinning,感觉挺简单的,但是几乎找了所有公开的unsslpinning脚本都无济于事, dump证书也如此。对apk解包时发现里面有okhttp3,以为使用了okhttp3库,但hook后发现并不如此。既然okhttp3 hook不到,就找了更深层次点的函数SS
转载
2023-12-01 07:18:51
255阅读
