SSL Pinning - Bypassing Pinning, das .pem verwendet

595

Im Versuch, Spotify zu testen, wird eine von Equifax Secure Certificate Authority signierte "cacert.pem" -Datei verwendet.

Kann man das umgehen und die Anfragen bekommen? Im Moment kann ich es nicht schnüffeln. (Versuch, Fiddler zu verwenden)

0
Wenn Spotify den gesamten Datenverkehr für die Verwendung des Zertifikats konfiguriert hat, können Sie das Zertifikat nicht umgehen. Das ist der ganze Punkt. Ramhound vor 6 Jahren 0
@Ramhound muss es einen Weg geben, nein? Alles was ich brauche ist die URL, Header und Postdaten zu bekommen. vor 6 Jahren 0
Wenn Sie all diese Daten über eine unsichere Verbindung erhalten möchten, können Sie diese nicht umgehen. Spotify kann ihren Server auch so konfigurieren, dass alle Verbindungen von einem Client, der versucht, einen MiTM-Angriff auszuführen, abgewiesen werden. Dies ist im Wesentlichen das, was Sie tun müssen, um den sicheren HTTP-Verkehr abzufangen, um ihn in etwas anzuzeigen wie Fiddler. Ramhound vor 6 Jahren 0

1 Antwort auf die Frage

-1
jehovahsays

Laden Sie die Datei cacert.pem
öffnen cacert.pem in Notepad ++
Kopieren Public - Key - Hash
Zum Bericht-uri Website
Klicken Sie auf die Registerkarte mit dem Namen Tools
Blättern Sie nach unten zu HPKP Generator (PEM)
Einfügen der öffentliche Schlüssel Hash
Klicken Sie auf die Hash - Taste
Mit dieser 1 Öffentlichkeit key hash,
ich denke, Sie sollten auch umgehen können, wenn
Sie der Software Ihre Verwendung zum Schnupfen geben.
Die Sniffing-Software könnte diesen 1-öffentlichen-Schlüssel-Hash verwenden,
um die Pinning-Schritte abzuschließen,
um den Sniff-Test Ihrer Website zu beginnen.

Wo ist der öffentliche Schlüsselhash? vor 6 Jahren 0
Ich glaube auch nicht, dass Fiddler oder irgendetwas einen Hash verwenden kann vor 6 Jahren 0

Verwandte Probleme