使用SSL Pinning 阻止中间人攻击

问题

我们可以使用Charles抓https的包,原理是利用中间人攻击,所以app的请求并不是安全的。怎样避免Charles抓https的包呢?答案是:SSL Pinning

中间人攻击的原理

伪造信任证书,对客户端充当服务器,对服务器充当客户端

SSL Pinning 的原理

在客户端内置服务器的证书或者公钥,客户端连接服务器时,对比内置证书或公钥是否与服务器的证书或公钥一致,不一致则断开连接。这样就可以让中间人伪造的证书无法通过验证

SSL Pinning 的类型

(1)内置证书

将证书放入app的bundle里。服务器的证书修改或者过期时需要同步更新app

(2)内置公钥

将证书的公钥硬编码进代码里。只要服务器的公钥不变,就不用更新app

在Alamofire 5 中使用 SSL Pinning

提供了两个类:

  • PinnedCertificatesTrustEvaluator
  • PublicKeysTrustEvaluator

PinnedCertificatesTrustEvaluator为例:

(1)获取证书数据

1
2
3
4
5
6
7
8
9
10
11
12
struct Certificates {
static let stackExchange =
Certificates.certificate(filename: "stackexchange.com")

private static func certificate(filename: String) -> SecCertificate {
let filePath = Bundle.main.path(forResource: filename, ofType: "der")!
let data = try! Data(contentsOf: URL(fileURLWithPath: filePath))
let certificate = SecCertificateCreateWithData(nil, data as CFData)!

return certificate
}
}

(2)构建session

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
// 1
let evaluators = [
"api.stackexchange.com":
PinnedCertificatesTrustEvaluator(certificates: [
Certificates.stackExchange
])
]

let session: Session

// 2
private init() {
session = Session(
serverTrustManager: ServerTrustManager(evaluators: evaluators)
)
}

参考资料

参考:Preventing Man-in-the-Middle Attacks in iOS with SSL Pinning

转载于:使用SSL Pinning 阻止中间人攻击

Powered by AppBlog.CN     浙ICP备14037229号

Copyright © 2012 - 2020 APP开发技术博客 All Rights Reserved.

访客数 : | 访问量 :