¿Hay alguna forma o herramienta para verificar si una aplicación iOS en particular está implementando la funcionalidad de fijación de SSL?

2

Estoy aprendiendo la seguridad de iOS. Esta es completamente una pregunta para principiantes.

Estoy tratando de averiguar si hay alguna manera particular de verificar si una aplicación de iOS está implementando la funcionalidad de fijación de SSL.

Actualmente he revisado el tráfico SSL de algunas aplicaciones a través de Burp Proxy. Incluso después de instalar Burp Proxy Certificate, algunas aplicaciones están lanzando algunas Alertas, por lo que hay un error fatal, por lo que el cliente no pudo negociar una conexión SSL. Y no estoy seguro de si es la forma adecuada o no.

¿Pero cuál es la manera exacta y perfecta de resolverlo?

Gracias de antemano

    
pregunta sr1 11.02.2016 - 14:15
fuente

1 respuesta

1

Usar Burp es una buena manera de probarlo. Pero no olvide importar el certificado de CA de Burp en el dispositivo para que el dispositivo confíe en él. Visite http://burp en el navegador del dispositivo y descargue e instale el certificado.

La mayoría de las aplicaciones ahora funcionarán a través de SSL y puedes ver su tráfico en Burp. Pero las aplicaciones que aún fallan están haciendo más comprobaciones, es decir, 'pinning'.

Puedes hacer lo mismo usando mitmproxy . En ese caso, visite mitm.it en el navegador para importar el certificado de CA de mitmproxy en su dispositivo.

Editar Se me ocurrió que en Burp, no estás viendo las conexiones fallidas que intentaron establecer las aplicaciones, solo verás las exitosas. Lo que uso para resolver eso es una herramienta llamada mitmdump , que es como una versión básica de mitmproxy (mitdump viene con mitmproxy). No solo mostrará las conexiones exitosas, sino también las conexiones SSL rechazadas por el cliente, por lo que sabrá lo que la aplicación intentó hacer, y puede ver que fue la aplicación la que se negó a continuar.

    
respondido por el Mark Koek 12.02.2016 - 15:17
fuente

Lea otras preguntas en las etiquetas