android - 证书透明度可以检测移动应用程序中的 SSL Pinning 绕过吗?
问题描述
我正在阅读证书透明度 (CT) 及其监控证书使用和滥用的能力。我想知道 CT 是否可以检测到移动应用程序中的 SSL Pinning 绕过(在 Web 应用程序的情况下)。请您在这方面启发我。如果是,如何?如果不是,为什么?
解决方案
TL;DR
CT can not detect bypass of SSL Pinning in your mobile applications
CT 和 SSL Pinning 是两个不同的东西。在 SSL Pinning 中,您确保在 TLS 握手期间收到的证书哈希/公钥哈希与应用程序中固定的哈希匹配,以确保您只信任列入白名单的证书,而不是信任设备信任存储中的所有内容,而通过 CT,我们执行加密检查以确保我们是否收到了有效的 SCT(签名证书时间戳)和日志服务器将证书条目推送到公共附加日志,以确保没有恶意可信 CA 或通过妥协为我们的域生成的恶意证书一个 CA。
另外,请注意,使用 CT,我们仅确保 PUBLIC CA 颁发的证书是合法颁发的,而在执行 MITM 以拦截应用程序流量/绕过固定时,我们使用不是公共 CA 的代理服务器 (Charles/Burp/ZAP) 的证书因此检查不是通过 CT 执行的
推荐阅读
- asp.net - ASP.NET webform 系统异常
- c++ - 为什么定义移动构造函数会删除移动赋值运算符
- reactjs - 如何将 json 文件中的 json 数据插入 rect 并创建表?
- javascript - 动态更改输入 svg 图标的位置
- sql - SQL,在夜间脚本中为字段填充序列号 ID 时如何考虑先前填充的记录
- javascript - 如何从该表格内容中获取链接(我猜它是 javascript)?(不含硒)
- python - 将 json 解析为值列表
- c++ - 为什么变量 t 不能正确计算?
- powerbi-custom-visuals - Quarter over Quarter 不按顺序列出 1,2,3,4
- highcharts - Highcharts极地标签textoverflow