在我的 Android 應用程式中,我們使用改造網路服務與服務器進行通信。一些黑客攔截請求并使用一些工具 Burp Suit 修改它。
請幫助我讓我知道如何停止攔截攻擊。
uj5u.com熱心網友回復:
Burp Suit 的作用 - 它基本上執行中間人攻擊。它會生成一個 HTTPS 證書并偽裝成瀏覽器。
問題是如果您的服務器和您的客戶端受到保護免受這種 MITM 攻擊 - 這些工具將無法作業。至少在移動應用程式中 - 瀏覽器會顯示安全錯誤,但仍會傳遞資料。
您可以使用的解決方案是將您的特定 SSL 證書包含到應用程式中,并使應用程式將其視為唯一受信任的證書。它或多或少是安全的 - 取決于實作。它也是免費的,因為您可以附加自己創建的自簽名證書,因為您可以控制驗證。當然,后端也應該使用相同的 SSL 證書。使用這種技術時,Burp Suit 生成的證書將不起作用,因為該應用程式只知道一個受信任的證書。
該技術本身稱為SSL pinningor certificate pinning,您可以在網上找到大量有關如何在客戶端和服務器上實作它的資訊。
不過,我會給你幾個鏈接:
這是一篇關于如何使用改造(okhttp)的好文章。
這是 OkHttp 的官方檔案CertificatePinner
這是改造 SSL 固定的小型實作。
這里還有一篇文章。
這還不夠,但問題很復雜,一個 StackOverflow 的答案是不夠的。但我認為這是進行實際實施的良好開端。
同樣作為一個小建議 - 使用加密來存盤您的 SSL 證書密鑰而不是純字串存盤 - 它仍然不會受到記憶體欺騙的影響,但黑客使用它會困難得多。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/373042.html
