[英]How to disable SSL Pinning & Root Detection in Flutter App for VAPT Team?
第三方公司的 VAPT(漏洞評估和滲透測試)團隊要求我們在我們的 Flutter 應用程序的發布構建 apk 中禁用 SSL 固定和根檢測。
我們已經嘗試在 pub.dev 上使用包,但目前只有 root 檢測和 SSL Pinning 檢測包。
請指導我們使用適當的步驟禁用 SSL 固定和根檢測
此外,這樣做並將 apk 交給第 3 方測試團隊是否安全?
我會簡單地向滲透測試人員詢問他們使用的根 CA 證書(使用的中間人代理軟件),然后構建一個特殊版本來固定這個 CA 證書而不是你的默認證書。
然后應用程序盡可能接近原始版本,但滲透測試人員有能力攔截網絡數據。
當然也提供原始的應用程序版本給滲透測試者。
如果提供一個沒有固定您的生產 CA 的應用程序版本是安全的,這不是 IT 安全或編程問題,而是對滲透測試人員的信任以及您公司與滲透測試人員之間的法律協議(尤其是 NDA)。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.