APP STRORE'da canlı değil. Sertifika artık Apple'ın dahili araçları tarafından unutulanamaz ve değiştirilirse, ilgili APP varsayılan olarak silinir.
Burada, yakalama paketinin IOS APP HTTPS paketinden bahsedelim
İndir ve kur: CHALESPROXY
http://www.charlesproxy.com/
Hazırlamak
Charles, Menü -> Proxy -> Proxy Ayarlarında HTTP proxy ve SSL proxy'sini etkinleştirin ve ayarlayın, şekilde gösterildiği gibi:
HTTP proxy ayarları, lütfen port numarasının şu olduğunu unutmayın: 8888
Yukarıda belirtildiği gibi, trafik kaçırılması bu makalenin odak noktası değildirTrafik kaçırılması nasıl gerçekleşir?Bu örnekte, Charles doğrudan trafiği kaçırmak için bir vekil olarak kullanılır. ve kullanımSSL proxyBir iPhone cihazının HTTPS talebi üzerine ortada adam saldırısını simüle edelim, böylece herkes ortadaki adam saldırı yöntemini düşünebilir ve anlayabilir ve geliştirme sürecinde benzer saldırıları nasıl önleyebileceğini anlayabilir. 1) Charles ajanı kurar Charles, Menü -> Proxy -> Proxy Ayarlarında HTTP proxy ve SSL proxy'sini etkinleştirin ve ayarlayın, şekilde gösterildiği gibi: HTTP proxy ayarları, lütfen port numarasının şu olduğunu unutmayın: 8888
SSL proxy ayarlarında, yapmak istediğiniz alan adını locatio{filtering}ns'de ayarlayabilirsiniz, burada Baidu'nun Baifubao*.baifubao.com simülasyon nesnesi olarak kullanılır.
2) iPhone tarafında bir HTTP proxy kurmak Mac'teki mevcut makinenin IP adresini alın: ifconfig en0:
Bunu yapmanın kolay bir yolu da var: seçeneği basılı tutup + üst menü çubuğundaki WiFi ağ simgesine dokunun:
Mevcut bilgisayarın IP adresinin şu olduğunu görebilirsiniz: 192.168.199.249. iPhone'u, bilgisayarınızla aynı WiFi'ye bağlayın, iPhone ayarlarından: Wi-Fi -> Bağlı WiFi'nin sağındaki Bilgi detayları simgesi -> HTTP proxy -> Kılavuz -> HTTP proxy kurun:
Kurulum tamamlandıktan sonra Safari'yi açın ve bir web sayfasını ziyaret edin; proxy'yi ilk kez kurduğunuzda, Charles iPhone istek proxy için bir onay kutusu açıyor, izin ver düğmesine tıklıyor. Sonra Charles'taki iPhone'da HTTP isteğini görebilirsiniz. Mac'teki çok fazla isteğin proxy iPhone'da HTTP isteklerinin görüntülenmesini ve hata ayıklamasını etkilemesini önlemek için, Charles'ın Menüsü -> Proxy ->'daki Mac OS X Proxy'sini işaretinden kaldırabilirsiniz. Diyelim ki devredilen hedef URL'yi ziyaret ediyorsunuzhttp://www.baifubao.comO zaman web sayfasını açamazsınız. iPhone'un HTTPS talebi Charles tarafından ele geçirildiğinden, ancak iPhone Charles'ın sertifikasına güvenemediği için SSL Handshake başarısız olur ve HTTPS bağlantısı kurulamaz.
3) Sahte sertifika sahteliği iPhone'da Open Safari proxy ve erişimhttp://www.charlesproxy.com/getsslCharles kök sertifikasını içeren tanımlayıcı dosyasının kurulması için arayüzü açacaktır:
Not: Bu Charles sertifikası Charles'a entegre edilmiştir ve sertifikayı doğrudan Help -> SSL Proxying menüsünde kaydedip kurabilirsiniz. Yüklü profil, iPhone cihazının Ayarlar > Universal-> profilinde görüntülenebilir ve yönetilebilir. Kurulum tamamlandıktan sonra, Charles kök sertifikası sistemdeki güvenilir sertifikalar listesine eklenir ve bu sertifika kullanılarak verilen alt sertifikalar da sistem tarafından güvenilir. Charles, önceki SSL proxy ayarlarında yapılandırılan alan adı için bir SSL sertifikası oluşturur, böylece sahte sertifika sahte olur. Mac SSL proxy'sini kullanarak aşağıdakileri kontrol edebilirsiniz:
4) Sonuçların doğrulanması Baidu Uygulamasını indirin, hesabınıza giriş yapın ve My -> My Wallet'ta Baifubao'ya erişeceksiniz:
HTTPS isteği paketinin içeriğinin başarıyla alındığından emin olun. Buradan, uygulamanın sistemin varsayılan doğrulama yöntemini kullandığını tahmin edebiliriz: sistem, man-in-the-middle sunucusunun geri verdiği SSL sertifikasına güveniyor, uygulama ise bu doğrulamaya güveniyor ve SSL el sıkışması başarılı; Sunucu sertifikasının yerel çapraz kontrolü yoktur. Bu, günümüzde birçok uygulamada bulunan bir güvenlik tehlikesidir.
| 
Yayınlandı 13.01.2016 10:24:06
|
|
|
|
