传输安全防止抓包之ssl pinning

/ 默认分类 / 没有评论 / 41浏览

今天发现抓包同行app的https请求,无法实现成功抓包,分析其使用了ssl pinning技术;

如果集成https,可以实现传输加密,防止第三方窃听数据;但是无法防止有基础技术的人进行抓包分析数据,如果想隐藏传输的数据,可以用以下方式(当然只是增加破解成本):

1.app端硬编码判断证书,就算抓包工具使用自己的证书实现中间人攻击,也无法成功抓包;注意: 由于固定,存储在应用程序上的证书需要在服务器证书过期或更改时更新(可以设置为动态获取的)。 2.纯属加密数据 3.自定义数据二进制编码;

https://www.jianshu.com/p/19f311d81b6d

https://medium.com/@richa123/ssl-pinning-on-android-8baa822e3bd5