Форум программистов, компьютерный форум, киберфорум
Debian, Kali Linux, Raspbian, Astra Linux
Войти
Регистрация
Восстановить пароль
Блоги Сообщество Поиск Заказать работу  
 
Рейтинг 4.50/8: Рейтинг темы: голосов - 8, средняя оценка - 4.50
 Аватар для 1337trix
23 / 24 / 11
Регистрация: 04.12.2014
Сообщений: 422

Обход certificate pinning

28.02.2018, 22:10. Показов 1765. Ответов 3
Метки нет (Все метки)

Студворк — интернет-сервис помощи студентам
Всем привет, мог бы кто-то помочь понять, как перехватить свой трафик в мобильных приложениях?
Вот есть такая хитрая вещь, как "certificate pinning", если я правильно понял. Нашел статью Статья с хабра, однако, не со всеми приложениями срабатывает.
Внизу есть комментарий:
Прописываем в nginx следующее:

server {
listen 0.0.0.0:80;
server_name test.alexbers.com;

location / {
proxy_pass https://cn-dca1.uber.com/;
proxy_redirect off;
}
}
Как можно обойти проверку сертификата, есть у кого-то хороший, пошаговый мануал без воды, хотел бы разобраться с этим.
Если можно, какие-нибудь испытания на приложениях из плеймаркета. Хотел бы почитать трафик инстаграма.
0
cpp_developer
Эксперт
20123 / 5690 / 1417
Регистрация: 09.04.2010
Сообщений: 22,546
Блог
28.02.2018, 22:10
Ответы с готовыми решениями:

Рекурсивный обход. Не могу сделать табуляцию. Обход с выводом имен файлов
Задание простое, ну по крайней мере на первый взгляд. Написать скрипт обхода вложенных директорий с выводом дерева (табулированного, то...

Debug Certificate
при компиляции выдает такую ошибку Error generating final archive: Debug Certificate expired on 10.11.11 1:07 лечится переводом...

Distribution certificate
Добрый день! Нужно ли создавать Distribution certificate, если разработчик и дистрибьютор - одно лицо? Если да, то можно ли указать одно и...

3
 Аватар для Daedroth
2 / 2 / 1
Регистрация: 09.02.2018
Сообщений: 28
01.03.2018, 00:41
Если приложение само по себе проверяет валидность сертификата сервера и не устанавливает соединение если сертификат отличается - то никак, что в мобильном софте что в десктопном. Можно попробовать ковырнуть APK вдруг там сертификат отдельным файлом лежит и заменить его. И вообще, на заборах пишут что Java приложения легко декомпилируются - посмотрите как обустроена проверка и дальше по обстоятельствам.

P.S. для начала попробуйте на устройстве установить для всех соединений принудительно SOCKS либо HTTPS прокси, а в качестве прокси подымите что-нибудь типа Charles на ПК, посмотрите увидит ли прокси трафик.
0
 Аватар для 1337trix
23 / 24 / 11
Регистрация: 04.12.2014
Сообщений: 422
01.03.2018, 06:43  [ТС]
Цитата Сообщение от Daedroth Посмотреть сообщение
P.S. для начала попробуйте на устройстве установить для всех соединений принудительно SOCKS либо HTTPS прокси, а в качестве прокси подымите что-нибудь типа Charles на ПК, посмотрите увидит ли прокси трафик.
Делал примерно то же самое, только через burp suit, трафик, можно сказать, летит, только приложение после попытки установить соединение начинает делать вид, что сети нет и прекращает дальнейшую отправку.
Цитата Сообщение от Daedroth Посмотреть сообщение
Java приложения легко декомпилируются
Вы имеете в виду дизассемблировать весь apk?
0
 Аватар для Daedroth
2 / 2 / 1
Регистрация: 09.02.2018
Сообщений: 28
01.03.2018, 14:16
прекращает дальнейшую отправку - точно проверка сертификата на соответствие с вшитым в приложение.

Да, разобрать APK в java коды. Где-то видел готовые решения. Не уверен что такой шлак откомпилируется, но для изучения этого должно быть достаточно.
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
raxper
Эксперт
30234 / 6612 / 1498
Регистрация: 28.12.2010
Сообщений: 21,154
Блог
01.03.2018, 14:16
Помогаю со студенческими работами здесь

Internet Certificate И Подпись
есть в хэлпе описание подписи почтовых отправлений... но вот про подпись документа, в вебприложении... я что-то не смог сформулировать...

Certificate verify failed
Всем привет!при попытке подключится к dnsmadeeasy, через гем dnsmadeeasy-rest-api-1.0.4 , вылетает ошибка ...

Get the release certificate fingerprint
Здравствуйте хочу подключить свою игру к play services, для этого нужно два ключа debug и release, как получить debug понятно, а как...

Https certificate как установить?
Пробую сгенерировать privat/public key. Пишу на винде(нее спрашивайтен почему) + я нубер. так вот, непосредственно сгенерировал...

Trusted certificate и подтверждение на запуск
Привет Я использую java web start для своей app. но столкнулся с такой проблемой что вечно требует подтверждение на запуск ... ...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
4
Ответ Создать тему
Новые блоги и статьи
Валидация и контроль данных табличной части документа перед записью
Maks 22.04.2026
Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .
Отчёт о затраченных материалах за определенный период с макетом печатной формы
Maks 21.04.2026
Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .
Отчёт о спецтехнике находящейся в ремонте
Maks 20.04.2026
Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .
Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)"
Hrethgir 19.04.2026
Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .
Запрет удаления строк ТЧ документа при определённом условии
Maks 19.04.2026
Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .
Модель заражения группы наркоманов
alhaos 17.04.2026
Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .
Мысли в слух. Про "навсегда".
kumehtar 16.04.2026
Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .
My Business CRM
MaGz GoLd 16.04.2026
Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2026, CyberForum.ru