這篇文章將為大家詳細(xì)講解有關(guān)如何繞過(guò)安卓SSL證書驗(yàn)證，小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

我們提供的服務(wù)有：成都網(wǎng)站制作、成都網(wǎng)站建設(shè)、外貿(mào)營(yíng)銷網(wǎng)站建設(shè)、微信公眾號(hào)開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、咸寧ssl等。為超過(guò)千家企事業(yè)單位解決了網(wǎng)站和推廣的問(wèn)題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的咸寧網(wǎng)站制作公司

在安全界打拼多年的人一定對(duì)對(duì)以前在運(yùn)用安卓運(yùn)用的時(shí)候會(huì)記憶猶新，比如比較重要的特點(diǎn)是比如你可以不用去關(guān)心所有的SSL錯(cuò)誤，而且你可以隨意攔截和修改SSL的通信。但是從現(xiàn)在開始你不能這么做了，為什么呢？因?yàn)楝F(xiàn)在目前大多數(shù)的應(yīng)用程序都會(huì)檢查ssl證書驗(yàn)證是否是由有效的可信SSL證書頒發(fā)機(jī)構(gòu)（CA）頒發(fā)的。作為測(cè)試人員的我們來(lái)說(shuō)，我們的主要任務(wù)就是檢查這些證書是否有驗(yàn)證方式，為此我選用了中間人攻擊（MITM）的方式來(lái)嘗試修改其通信。可以繞過(guò)Android  SSL證書驗(yàn)證檢查的技術(shù)：

1.將自定義的CA添加有信任一欄的區(qū)域中；

2.用自定義CA證書覆蓋在已經(jīng)封裝好的證書；

3.使用Frida  hook來(lái)繞過(guò) SSL證書驗(yàn)證；

4.自定義證書代碼逆向操作。

為什么我會(huì)選擇對(duì)移動(dòng)應(yīng)用程序進(jìn)行SSL MITM？主要是因?yàn)闉榱瞬榭春湍：苿?dòng)應(yīng)用程序的網(wǎng)絡(luò)服務(wù)調(diào)用，我需要使用攔截代理（如BurpSuite或ZAP）。如果用代理來(lái)截住ssl通信的話，那么客戶端的ssl連接就會(huì)停止工作。默認(rèn)情況下，由Burp等工具生成的自簽名證書將沒有信任鏈，當(dāng)這個(gè)證書的驗(yàn)證沒有辦法進(jìn)行的時(shí)候，那么這會(huì)導(dǎo)致所有的運(yùn)用程序無(wú)法進(jìn)行，而不會(huì)通過(guò)不安全的渠道進(jìn)行連接。那么這些所有的的目標(biāo)都是為了讓移動(dòng)應(yīng)用程序信任攔截代理提供的證書。

關(guān)于如何繞過(guò)安卓SSL證書驗(yàn)證就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。