VR
в открытом виде
Size: a a a
2021 March 22
VR
еще видел в аккаунт менеджере )))
M
еще видел в аккаунт менеджере )))
На то он и аккаунт менеджер 😂
2021 March 23
V
Пытаюсь снять SSL pinning в приложении. Приложение получает сертификаты для закрепления прямо с того же сервера, для которого их закрепляет, сразу же после запуска приложения перед всеми коммуникациями.
Я подумал и решил, что могу заменить содержимое ответа этого первого запроса, в котором приложение получает сертификаты, и подложить туда свой сертификат (от Mitmproxy/Burp Suite). Но возникла проблема: я не понимаю, в каком формате приходит сертификат. Это 256-байтная строка (Base64). Я попытался выяснить, как эта строка связана с сертификатом, который закрепляет приложение. Сначала подумал, что это может быть отпечаток сертификата, загрузил сертификат с сервера с помощью OpenSSL вручную и начал сравнивать его отпечатки с этой строкой — не совпадают.
Подскажите, как эта строка может быть связана с сертификатом (публичным ключом)?
Я подумал и решил, что могу заменить содержимое ответа этого первого запроса, в котором приложение получает сертификаты, и подложить туда свой сертификат (от Mitmproxy/Burp Suite). Но возникла проблема: я не понимаю, в каком формате приходит сертификат. Это 256-байтная строка (Base64). Я попытался выяснить, как эта строка связана с сертификатом, который закрепляет приложение. Сначала подумал, что это может быть отпечаток сертификата, загрузил сертификат с сервера с помощью OpenSSL вручную и начал сравнивать его отпечатки с этой строкой — не совпадают.
Подскажите, как эта строка может быть связана с сертификатом (публичным ключом)?
EM+qTY4KVNAqHB0H7jK+367xnpgfp8Wr7Q2n4iZhsSVosrjHFwxffNq51B0954AfIw1b6CYGmFsQD+fdqEO+yrR6MWJqdncH0fKeeA43IOIdEjDaTiZ1PgCdJYihMx4LjC4iKuZZH7MGBMe5wB9AAKicEM4wTYM3ZW9BYm86LjyRttk7bc/mM2V2nV1OHG3AEAxA5NI+mlf4kW7NuUc5ghVmzzNZjRNPkV3By5uVLofNxXMcveHX/AQA/s/GQjuvnd0FHIsx2AdpJg6ADGxouYfgJ05bzgvRxFSOVaDT74ZhUzsGIQo9AEhvTFP4QBKljpkJb8AX++S/J3EyN9MfSA==V
Приходит эта строка в вот таком JSON:
V
Я видел в интернете примеры снятия SSL pinning, когда приложение хранит сертификат целиком внутри себя в файле формата PEM (в ресурсах), а также видел, как закрепляют сертификат в OkHttp — там используется отпечаток SHA-256 сертификата. Но мой случай несколько другой.
ИК
Пытаюсь снять SSL pinning в приложении. Приложение получает сертификаты для закрепления прямо с того же сервера, для которого их закрепляет, сразу же после запуска приложения перед всеми коммуникациями.
Я подумал и решил, что могу заменить содержимое ответа этого первого запроса, в котором приложение получает сертификаты, и подложить туда свой сертификат (от Mitmproxy/Burp Suite). Но возникла проблема: я не понимаю, в каком формате приходит сертификат. Это 256-байтная строка (Base64). Я попытался выяснить, как эта строка связана с сертификатом, который закрепляет приложение. Сначала подумал, что это может быть отпечаток сертификата, загрузил сертификат с сервера с помощью OpenSSL вручную и начал сравнивать его отпечатки с этой строкой — не совпадают.
Подскажите, как эта строка может быть связана с сертификатом (публичным ключом)?
Я подумал и решил, что могу заменить содержимое ответа этого первого запроса, в котором приложение получает сертификаты, и подложить туда свой сертификат (от Mitmproxy/Burp Suite). Но возникла проблема: я не понимаю, в каком формате приходит сертификат. Это 256-байтная строка (Base64). Я попытался выяснить, как эта строка связана с сертификатом, который закрепляет приложение. Сначала подумал, что это может быть отпечаток сертификата, загрузил сертификат с сервера с помощью OpenSSL вручную и начал сравнивать его отпечатки с этой строкой — не совпадают.
Подскажите, как эта строка может быть связана с сертификатом (публичным ключом)?
EM+qTY4KVNAqHB0H7jK+367xnpgfp8Wr7Q2n4iZhsSVosrjHFwxffNq51B0954AfIw1b6CYGmFsQD+fdqEO+yrR6MWJqdncH0fKeeA43IOIdEjDaTiZ1PgCdJYihMx4LjC4iKuZZH7MGBMe5wB9AAKicEM4wTYM3ZW9BYm86LjyRttk7bc/mM2V2nV1OHG3AEAxA5NI+mlf4kW7NuUc5ghVmzzNZjRNPkV3By5uVLofNxXMcveHX/AQA/s/GQjuvnd0FHIsx2AdpJg6ADGxouYfgJ05bzgvRxFSOVaDT74ZhUzsGIQo9AEhvTFP4QBKljpkJb8AX++S/J3EyN9MfSA==Похожие на base64, но что им обработали хз, возможно хеш, возможно как-то перед этим шифровали. В приложении он же используетс для пининга? Тогда должно быть видно как. Например, что это Base 64 от sha1 и т.п
R
Похожие на base64, но что им обработали хз, возможно хеш, возможно как-то перед этим шифровали. В приложении он же используетс для пининга? Тогда должно быть видно как. Например, что это Base 64 от sha1 и т.п
Поддерживаю. Просто глянь алгоритм, что они в итоге из этой строки вытягивают в пинер.
AL
Всем привет, кто-то фиксил уязвимость Task Hijacking in Android?
Среди решений есть установить taskAffinity="" и использовать singleTask вместо singleTop.
Второй вариант мы внедрим, но меня интересует, что повлечет за собой установка taskAffinity пустой строкой?
Среди решений есть установить taskAffinity="" и использовать singleTask вместо singleTop.
Второй вариант мы внедрим, но меня интересует, что повлечет за собой установка taskAffinity пустой строкой?
M
Помнит кто-то стареньки Havij для SQL ломаторов))
Аж ностальгия пошла
Аж ностальгия пошла
M
Сейчас небось уже более совершенные тулзы есть
YS
Всем привет, кто-то фиксил уязвимость Task Hijacking in Android?
Среди решений есть установить taskAffinity="" и использовать singleTask вместо singleTop.
Второй вариант мы внедрим, но меня интересует, что повлечет за собой установка taskAffinity пустой строкой?
Среди решений есть установить taskAffinity="" и использовать singleTask вместо singleTop.
Второй вариант мы внедрим, но меня интересует, что повлечет за собой установка taskAffinity пустой строкой?
Куча тасков для твоего приложения может возникнуть
YS
вроде как если откроешь из лаунчера приложение, из уведомления и тд - это будут отдельные таски и ты сломаешь backstack
AL
понял, спасибо
Е
Мужики че скажите за bitwarden
Е
?
Е
И за keepass к кому больше доверия?
Е
Спасибо заранее
Е
Пишите только те кто пользовал
ИТ
Помнится 4pda