SSL Pinning Practice

0x01 证书锁定的收益

安全性提升,更加有效覆盖对抗中间人攻击场景.

证书锁定本质是对抗中间人攻击.并非用于对抗破解抓包的.但如果程序逻辑未被注入运行在”可信环境”中倒是有些作用.

ssl对抗的攻击场景:

  • 中间人攻击部分场景
    • ARP欺骗
    • DNS劫持
    • 钓鱼WIFI
    • 伪基站

ssl pinning新增对抗场景:

  • 客户端安装恶意证书
    • 一些WiFi需要你添加根证书信任才能使用互联网
    • 一些网站需要你添加根证书信任才能不反复红叉提示
  • 其他CA恶意签发站点证书
    • WoSign和Symantec[……]

MORE