Обложка канала

Mobile AppSec World

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

Mobile AppSec World

3 года назад
Открыть в
Дамп и расшифровка трафика без использования Proxy Все мы так или иначе сталкивались с необходимостью посмотреть трафик приложения и поисследовать его. Но всегда мешают всякие нехорошие безопасники, которые заставляют делать разработчиков SSL Pinning в приложении. И наиболее частый вопрос - как открутить пиннинг в приложении. Как правило, это использование frida или аналогов, чтобы подмениить и отключить проверку сертификата в приложении. Но сделать это удается далеко не всегда и не со всеми приложениями. Есть альтернативный вариант данному методу - это логировать SSL-ключи, которые используются для шифрования внутри канала связи, снимать дамп трафика и потом его расшифровывать этими ключами. Спасибо огромное @vadim_a_yegorov за универсальный скрипт для Android и iOS (12/13/14/15), который помогает снимать и сохранять ключи! Вот тут можно найти полный Frida-код этого прекрасного скрипта. Спасибо, это очень круто! #sslpinning #ssl #keys #dump
sslkeylogger.js

GitHub Gist: instantly share code, notes, and snippets.

Gist