Если кто-то вчера не успел посмотреть, то вот постоянная ссылка на запись:
https://youtu.be/Xn6CSqJpf6I
Убрано лишнее,остался самый сок :)
#Android #Pinning #SSL #Bypass
https://youtu.be/Xn6CSqJpf6I
Убрано лишнее,остался самый сок :)
#Android #Pinning #SSL #Bypass
YouTube
Как прикрутить и отломать SSL pinning. CetificatePinner & NSC vs Reverse Engineer
Автоматическое откручивание SSL pinning-а не всегда хорошо работает и порой приходится выпиливать его руками, чтобы посмотреть трафик приложения. Напишем приложение с двумя видами пиннинга сертификатов и обфусцируем его (чтобы было интереснее). А потом покажу…
Способы обхода SSL Pinning в iOS
Вечная и не теряющая актуальности тема, как обойти SSL Pinning, как посмотреть трафик приложения?
Есть очень интересный твит, призванный собрать разные способы с их плюсами и минусами. Как обычно, комментарии очень хорошо дополняют исходный текст и там больше информации и очень много полезных ссылок на самые разные материалы. Советую полистать этим субботним вечером.
Ну и компании по анализу мобилок тоже не остаются в стороне, блог от AppKnox, который также собирает несколько способов обхода Pinning. Ничего нового, но описано неплохо и как методичка подойдет вполне 😁
Всем хороших выходных)
#ios #pinning #ssl
Вечная и не теряющая актуальности тема, как обойти SSL Pinning, как посмотреть трафик приложения?
Есть очень интересный твит, призванный собрать разные способы с их плюсами и минусами. Как обычно, комментарии очень хорошо дополняют исходный текст и там больше информации и очень много полезных ссылок на самые разные материалы. Советую полистать этим субботним вечером.
Ну и компании по анализу мобилок тоже не остаются в стороне, блог от AppKnox, который также собирает несколько способов обхода Pinning. Ничего нового, но описано неплохо и как методичка подойдет вполне 😁
Всем хороших выходных)
#ios #pinning #ssl
Twitter
Davy Douhine
Proxying is not the only way to monitor network traffic on your iOS mobile apps 📲 Different techniques for different use cases. Here's an attempt to summarize them. If you know other techniques plz tell me 🙏#mobilesecurity
Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом
Очень часто и много вопросов в разных чатах и на тренингах вызывает тема защиты канала связи, а именно SSL Pinning. Попробовать рассказать, что это такое, а также, к чему может привести отстутствие этого механизма я попробовал в статье "Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом".
Но на самом деле, прежде чем говорить о пиннинге, нужно понимать, что вообще происходит при взаимодействии клиента и сервера, как проходит установка безопасного соединения и еще несколько базовых вещей.
Я постарался описать все эти вещи максимально просто, так, как сам их понимаю, и надеюсь, что этот материал будет полезен тем, кто хочет сделать свой продукт более безопасным и разобраться, как работает этот механизм.
Я старался, так что, надеюсь, вам понравится!
Всех с понедельником и хорошей недели!
#Habr #SSL #Pinning
Очень часто и много вопросов в разных чатах и на тренингах вызывает тема защиты канала связи, а именно SSL Pinning. Попробовать рассказать, что это такое, а также, к чему может привести отстутствие этого механизма я попробовал в статье "Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом".
Но на самом деле, прежде чем говорить о пиннинге, нужно понимать, что вообще происходит при взаимодействии клиента и сервера, как проходит установка безопасного соединения и еще несколько базовых вещей.
Я постарался описать все эти вещи максимально просто, так, как сам их понимаю, и надеюсь, что этот материал будет полезен тем, кто хочет сделать свой продукт более безопасным и разобраться, как работает этот механизм.
Я старался, так что, надеюсь, вам понравится!
Всех с понедельником и хорошей недели!
#Habr #SSL #Pinning
Хабр
Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом
Привет, Хабр! Меня зовут Юрий Шабалин, как вы, наверное, уже знаете, я один из основателей компании Стингрей Технолоджиз, разработчика платформы анализа защищенности мобильных приложений iOS и...
Дамп и расшифровка трафика без использования Proxy
Все мы так или иначе сталкивались с необходимостью посмотреть трафик приложения и поисследовать его. Но всегда мешают всякие нехорошие безопасники, которые заставляют делать разработчиков SSL Pinning в приложении. И наиболее частый вопрос - как открутить пиннинг в приложении.
Как правило, это использование frida или аналогов, чтобы подмениить и отключить проверку сертификата в приложении. Но сделать это удается далеко не всегда и не со всеми приложениями.
Есть альтернативный вариант данному методу - это логировать SSL-ключи, которые используются для шифрования внутри канала связи, снимать дамп трафика и потом его расшифровывать этими ключами.
Спасибо огромное @vadim_a_yegorov за универсальный скрипт для Android и iOS (12/13/14/15), который помогает снимать и сохранять ключи!
Вот тут можно найти полный Frida-код этого прекрасного скрипта.
Спасибо, это очень круто!
#sslpinning #ssl #keys #dump
Все мы так или иначе сталкивались с необходимостью посмотреть трафик приложения и поисследовать его. Но всегда мешают всякие нехорошие безопасники, которые заставляют делать разработчиков SSL Pinning в приложении. И наиболее частый вопрос - как открутить пиннинг в приложении.
Как правило, это использование frida или аналогов, чтобы подмениить и отключить проверку сертификата в приложении. Но сделать это удается далеко не всегда и не со всеми приложениями.
Есть альтернативный вариант данному методу - это логировать SSL-ключи, которые используются для шифрования внутри канала связи, снимать дамп трафика и потом его расшифровывать этими ключами.
Спасибо огромное @vadim_a_yegorov за универсальный скрипт для Android и iOS (12/13/14/15), который помогает снимать и сохранять ключи!
Вот тут можно найти полный Frida-код этого прекрасного скрипта.
Спасибо, это очень круто!
#sslpinning #ssl #keys #dump
Gist
sslkeylogger.js
GitHub Gist: instantly share code, notes, and snippets.