SSL Pinning은 HPKP(HTTP Public Key Pinning)에서 주로 사용되는 용어입니다.
HPKP(HTTP Public Key Pinning) 이란?
클라이언트가 SSL/TLS 암호화 통신에 사용할 인증서를 최종서버의 인증서로 고정(Pinning)하는 방식을 HPKP라고 합니다. 이렇게 클라이언트가 최종서버의 인증서를 고정하면 중간에서 보안장비 또는 공격자가 제공한 임의의 인증서를 맞지 않는 인증서라 판단하여 거부할 수 있습니다.
모바일 앱을 진단할때 통신하는 부분을 확인하기 위해 프록시 툴(Burp Suite, Fiddler)을 사용하려면 인증서를 설치하거나 SSL Pinning을 우회해야 합니다. 우회하는 방법은 여러가지가 있지만 간단하게 SSL Pinning 우회 도구를 설치하여 우회할 수 있습니다.
IOS 같은 경우 "SSL Kill Switch2.0 " https://github.com/nabla-c0d3/ssl-kill-switch2
nabla-c0d3/ssl-kill-switch2
Blackbox tool to disable SSL certificate validation - including certificate pinning - within iOS and macOS applications. - nabla-c0d3/ssl-kill-switch2
github.com
Android 같은 경우 "유니콘 HTTPS" https://play.google.com/store/apps/details?id=kr.co.lylstudio.httpsguard&hl=ko
유니콘 HTTPS - 안전하고 빠른 HTTPS 사이트 접속 - Google Play 앱
속도 저하없이 안전하고 빠르게 HTTPS 접속!
play.google.com
'Mobile' 카테고리의 다른 글
| IOS 메모리 덤프 (0) | 2021.08.20 |
|---|---|
| ADB Logcat에서 특정 app 로그 확인 (0) | 2021.06.21 |
| Android 백업 취약점 (1) | 2020.04.16 |
| Andriod 루팅 우회 (0) | 2020.04.09 |
| Android 후킹 코드 작성 (0) | 2020.01.10 |