Proksi MITM - Memeriksa Validasi Rantai Sertifikat SSL

0

Saya mencoba memeriksa Validasi Sertifikat SSL aplikasi Android kami.

Saya memiliki Proxy MITM yang berjalan di Mac saya dan saya menggunakan Mac sebagai Proxy untuk ponsel Android saya. Saya dapat melihat semua permintaan http / s Android di Proxy MITM di Mac.

Melihat intro CERT Tapioca ( http://www.cert.org/blogs/certcc/post.cfm?EntryID=203 ) katanya, di dekat bagian bawah halaman:

Seperti yang saya sebutkan sebelumnya, jika Anda pernah melihat https: // URL di mitmproxy, Anda berurusan dengan aplikasi yang gagal memvalidasi rantai sertifikat SSL atau Anda telah secara manual menerima sertifikat yang tidak valid. Kami dapat dengan mudah memeriksa ini secara terprogram:

skema grep ", 5: https" ~ / logs / flow.log

Perintah ini menentukan apakah klien berhasil mengirim atau mengambil data melalui koneksi HTTPS.

Adakah yang bisa menjelaskan bagaimana perintah ini "menentukan apakah klien berhasil mengirim atau mengambil data melalui koneksi HTTPS"? Sejauh yang saya tahu, perintah itu hanya menemukan contoh "skema, 5: https" dalam file log ... tetapi bagaimana saya kemudian menggunakan informasi itu untuk memahami apa yang sedang terjadi?

Chris
sumber
1
Perintah memang hanya menemukan contoh string dalam file log. Kuncinya adalah string hanya muncul di file log jika Anda menggunakan HTTPS sebagai protokol, dan Anda hanya bisa menggunakan HTTPS sebagai protokol komunikasi jika aplikasi tidak memvalidasi rantai sertifikat SSL, atau Anda secara manual menerima sertifikat yang tidak valid, karena sertifikat yang disediakan oleh mitmproxy tentu bukan sertifikat yang valid untuk situs tersebut.
ssnobody
Jadi, jika saya menghapus MITMProxy CA dari Android saya dan saya masih menerima panggilan dengan https, maka itu berarti sertifikat tersebut tidak divalidasi dengan benar. Benar?
Chris
1
Itu benar, itu berarti bahwa seseorang dapat memberikan sertifikat yang tidak memiliki rantai valid ke root tepercaya yang diinstal dan aplikasi tersebut masih menerima sertifikat itu dan menggunakannya untuk berkomunikasi.
ssnobody

Jawaban:

0

Anda dapat berinteraksi dengan jendela terminal mitmproxy untuk melihat apa yang sedang terjadi. Anda dapat menggunakan bola mata untuk mencari URI yang dimulai dengan "https: //" jika Anda melakukan perfer. Tapi tampaknya grep kurang rentan terhadap kesalahan.

Setiap kali ada URI https di sana, itu berarti bahwa aplikasi telah berhasil mengirim atau menerima data melalui koneksi HTTPS dengan rantai SSL yang tidak valid. Itu bisa terjadi karena hanya menerima sertifikat yang tidak valid, atau karena itu memperingatkan Anda dan Anda melanjutkan.

pengguna376105
sumber