簡體 English 中英

如何在 Flutter App 中為 VAPT 團隊禁用 SSL 固定和根檢測？

[英]How to disable SSL Pinning & Root Detection in Flutter App for VAPT Team?

原文 2022-07-21 05:54:52 7 1 android/ flutter/ security/ android-security/ penetration-testing

第三方公司的 VAPT（漏洞評估和滲透測試）團隊要求我們在我們的 Flutter 應用程序的發布構建 apk 中禁用 SSL 固定和根檢測。

我們已經嘗試在 pub.dev 上使用包，但目前只有 root 檢測和 SSL Pinning 檢測包。

請指導我們使用適當的步驟禁用 SSL 固定和根檢測

此外，這樣做並將 apk 交給第 3 方測試團隊是否安全？

我會簡單地向滲透測試人員詢問他們使用的根 CA 證書（使用的中間人代理軟件），然后構建一個特殊版本來固定這個 CA 證書而不是你的默認證書。

然后應用程序盡可能接近原始版本，但滲透測試人員有能力攔截網絡數據。

當然也提供原始的應用程序版本給滲透測試者。

如果提供一個沒有固定您的生產 CA 的應用程序版本是安全的，這不是 IT 安全或編程問題，而是對滲透測試人員的信任以及您公司與滲透測試人員之間的法律協議（尤其是 NDA）。

[英]Disable SSL certificate pinning

[英]How to detect SSL pinning is being done in the app?

[英]How to Detect Root (Magisk) and Implement SSL Pinning on Android / React Native

[英]How to detect SSL pinning on Android

[英]how to implement the un bypassed SSL pinning in android

[英]How to disable Toast Messages generated in Screen Pinning?

[英]Android SSL Certificate pinning

[英]SSL Pinning With Volley

[英]SSL pinning client encryption

[英]Custom SSL Pinning with OkHttp

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 禁用SSL證書固定應用程序中如何檢測SSL固定？如何檢測 Root (Magisk) 並在 Android / React Native 上實現 SSL 固定如何在Android上檢測SSL固定如何在android中實現未繞過的SSL固定如何禁用屏幕固定中生成的Toast消息？ Android SSL 證書固定 SSL與Volley固定 SSL固定客戶端加密使用OkHttp自定義SSL固定

相關標簽