这篇文章给大家分享的是有关iOS怎么防止抓包的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。抓包原理其实原理很是简单:一般抓包都是通过代理服务来冒充你的服务器,客户端真正交互的是这个假冒的代理服务,这个假冒的服务再
这篇文章给大家分享的是有关iOS怎么防止抓包的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。
其实原理很是简单:一般抓包都是通过代理服务来冒充你的服务器,客户端真正交互的是这个假冒的代理服务,这个假冒的服务再和我们真正的服务交互,这个代理就是一个中间者 ,我们所有的数据都会通过这个中间者,所以我们的数据就会被抓取。https 也同样会被这个中间者伪造的证书来获取我们加密的数据。
为了数据的更安全,那么我们如何来防止被抓包。
第一种思路是:如果我们能判断是否有代理,有代理那么就存在风险。
第二种思路:针对HttpS 请求。我们判断证书的合法性。
第一种方式的实现:
CFDictionaryRef dicRef = CFNetworkCopySystemProxySettings();CFStringRef proxyStr = CFDictionaryGetValue(dicRef, kCFNetworkProxiesHTTPProxy);NSString *proxy = (__bridge NSString *)(proxyStr);
+ (BOOL)getProxyStatus { NSDictionary *proxySettings = NSMakeCollectable([(NSDictionary *)CFNetworkCopySystemProxySettings() autorelease]); NSArray *proxies = NSMakeCollectable([(NSArray *)CFNetworkCopyProxiesForURL((CFURLRef)[NSURL URLWithString:@"http://www.baidu.com"], (CFDictionaryRef)proxySettings) autorelease]); NSDictionary *settings = [proxies objectAtIndex:0]; NSLog(@"host=%@", [settings objectForKey:(NSString *)kCFProxyHostNameKey]); NSLog(@"port=%@", [settings objectForKey:(NSString *)kCFProxyPortNumberKey]); NSLog(@"type=%@", [settings objectForKey:(NSString *)kCFProxyTypeKey]); if ([[settings objectForKey:(NSString *)kCFProxyTypeKey] isEqualToString:@"kCFProxyTypeNone"]) { //没有设置代理 return NO; } else { //设置代理了 return YES; }}
我们通过hook到sessionWithConfiguration: 方法。然后清空代理
+ (void)load{ Method method1 = class_getClaSSMethod([NSURLSession class],@selector(sessionWithConfiguration:)); Method method2 = class_getClassMethod([NSURLSession class],@selector(px_sessionWithConfiguration:)); method_exchangeImplementations(method1, method2); Method method3 = class_getClassMethod([NSURLSession class],@selector(sessionWithConfiguration:delegate:delegateQueue:)); Method method4 = class_getClassMethod([NSURLSession class],@selector(px_sessionWithConfiguration:delegate:delegateQueue:)); method_exchangeImplementations(method3, method4);}+ (NSURLSession*)px_sessionWithConfiguration:(NSURLSessionConfiguration*)configuration delegate:(nullable id)delegate delegateQueue:(nullable NSOperationQueue*)queue{ if(configuration) configuration.connectionProxyDictionary = @{}; return [self px_sessionWithConfiguration:configuration delegate:delegate delegateQueue:queue];}+ (NSURLSession*)px_sessionWithConfiguration:(NSURLSessionConfiguration*)configuration{ if(configuration) configuration.connectionProxyDictionary = @{}; return [self px_sessionWithConfiguration:configuration];}
第二种思路的实现:
主要是针对HTTPS 请求,对证书的一个验证。
通过 SecTrustRef 获取服务端证书的内容
static NSArray * AFCertificateTrustChainForServerTrust(SecTrustRef serverTrust) { CFIndex certificateCount = SecTrustGetCertificateCount(serverTrust); NSMutableArray *trustChain = [NSMutableArray arrayWithCapacity:(NSUInteger)certificateCount]; for (CFIndex i = 0; i < certificateCount; i++) { SecCertificateRef certificate = SecTrustGetCertificateAtIndex(serverTrust, i); [trustChain addObject:(__bridge_transfer NSData *)SecCertificateCopyData(certificate)]; } return [NSArray arrayWithArray:trustChain];}
然后读取本地证书的内容进行对比
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"certificate" ofType:@"cer"];//证书的路径NSData *certData = [NSData dataWithContentsOfFile:cerPath];SSet<NSData*> * set = [[NSSet alloc]initWithObjects:certData , nil]; // 本地证书内容// 服务端证书内容NSArray *serverCertificates = AFCertificateTrustChainForServerTrust(serverTrust);for (NSData *trustChainCertificate in [serverCertificates reverseObjectEnumerator]) { if ([set containsObject:trustChainCertificate]) { // 证书验证通过 }}
SSL Pinning,即SSL证书绑定。通过SSL证书绑定来验证服务器身份,防止应用被抓包。
取到证书
客户端需要证书(Certification file), .cer格式的文件。可以跟服务器端索取。
如果他们给个.pem文件,要使用命令行转换:
openssl x509 -infORM PEM -in name.pem -outform DER -out name.cer
如果给了个.crt文件,请这样转换:
openssl x509 -in name.crt -out name.cer -outform der
如果啥都不给你,你只能自己动手了:
openssl s_client -connect www.WEBsite.com:443 </dev/null 2>/dev/null | openssl x509 -outform DER > myWebsite.cer**
把证书加进项目中
把生成的.cer证书文件直接拖到你项目的相关文件夹中,记得勾选Copy items if neede和Add to targets。
参数名意思
AFSecurityPolicy
SSLPinningMode
AFSecurityPolicy是AFNetworking中网络通信安全策略模块。它提供三种SSL Pinning Mode
AFSSLPinningModeNone:完全信任服务器证书;
AFSSLPinningModePublicKey:只比对服务器证书和本地证书的Public Key是否一致,如果一致则信任服务器证书;
AFSSLPinningModeCertificate:比对服务器证书和本地证书的所有内容,完全一致则信任服务器证书;
选择那种模式呢?
AFSSLPinningModeCertificate:最安全的比对模式。但是也比较麻烦,因为证书是打包在APP中,如果服务器证书改变或者到期,旧版本无法使用了,我们就需要用户更新APP来使用最新的证书。
AFSSLPinningModePublicKey:只比对证书的Public Key,只要Public Key没有改变,证书的其他变动都不会影响使用。
如果你不能保证你的用户总是使用你的APP的最新版本,所以我们使用AFSSLPinningModePublicKey。
allowInvalidCertificates
@property (nonatomic, assign) BOOL allowInvalidCertificates;
是否信任非法证书,默认是NO。
validatesDomainName
@property (nonatomic, assign) BOOL validatesDomainName;
是否校验证书中DomainName字段,它可能是IP,域名如*.Google.com,默认为YES,严格保证安全性。
使用AFSecurityPolicy设置SLL Pinning
+ (AFHTTPSessionManager *)manager{ static AFHTTPSessionManager *manager = nil; static dispatch_once_t onceToken; dispatch_once(&onceToken, ^{ NSURLSessionConfiguration *config = [NSURLSessionConfiguration defaultSessionConfiguration]; manager = [[AFHTTPSessionManager alloc] initWithSessionConfiguration:config]; AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey withPinnedCertificates:[AFSecurityPolicy certificatesInBundle:[NSBundle mainBundle]]]; manager.securityPolicy = securityPolicy; }); return manager;}
Android 防止抓包
单个接口访问不带代理的
URL url = new URL(urlStr); urlConnection = (HttpURLConnection) url.openConnection(Proxy.NO_PROXY);
OkHttp框架
OkHttpClient client = new OkHttpClient().newBuilder().proxy(Proxy.NO_PROXY).build();
感谢各位的阅读!关于“IOS怎么防止抓包”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,让大家可以学到更多知识,如果觉得文章不错,可以把它分享出去让更多的人看到吧!
--结束END--
本文标题: IOS怎么防止抓包
本文链接: https://www.lsjlt.com/news/279336.html(转载时请注明来源链接)
有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
下载Word文档到电脑,方便收藏和打印~
2024-05-22
2024-05-22
2024-05-22
2024-05-21
2024-05-21
2024-05-21
2024-05-21
2024-05-21
2024-05-21
2024-05-21
回答
回答
回答
回答
回答
回答
回答
回答
回答
回答
0