SSL Pinning - Обход Pinning, который использует .pem

524

Я пытаюсь протестировать Spotify, и он использует файл "cacert.pem", подписанный центром сертификации Equifax Secure.

Можно ли обойти это и получить запросы? На данный момент я не могу его понюхать. (Попытка использовать Fiddler)

0
Если Spotify настроил весь трафик на использование сертификата, вы не сможете обойти сертификат. Вот и весь смысл. Ramhound 6 лет назад 0
@ Обход должен быть способ обойти это, нет? Все, что мне нужно, это получить URL, заголовки и опубликовать данные. 6 лет назад 0
Если вам нужны все эти данные по небезопасному соединению, вы не сможете их обойти. Spotify также может настроить свой сервер таким образом, он будет отклонять любое соединение с клиентом, который пытается выполнить атаку MiTM, что в основном то, что вам нужно сделать, чтобы перехватить безопасный трафик HTTP, чтобы отобразить его в чем-то как скрипач Ramhound 6 лет назад 0

1 ответ на вопрос

-1
jehovahsays

Загрузите файл cacert.pem
Откройте cacert.pem в notepad ++
Скопируйте хэш открытого ключа
Перейдите на веб-сайт report-uri
Нажмите на вкладку с именем tools
Прокрутите вниз до HPKP Generator (PEM)
Вставьте хэш открытого ключа
Нажмите кнопку хэша
С этим 1 открытым ключевой хэш,
я думаю, что вы должны быть в состоянии обойти, когда
вы даете программному обеспечению использовать для прослушивания.
Программное обеспечение для отслеживания может использовать этот 1 открытый хеш-ключ
для выполнения действий по закреплению, чтобы
начать проверку на вашем веб-сайте.

Где хэш открытого ключа? 6 лет назад 0
Также я не думаю, что Fiddler или что-то еще может использовать хеш 6 лет назад 0