Come simulare l'ambiente per verificare se il blocco SSL funziona correttamente in un'applicazione Android?

Naviga le tue risposte
1

Sto utilizzando il questo plug-in Cordova per implementare il blocco SSL in un'applicazione Android.

Non so come simulare l'ambiente per testare se funziona bene.

Il team infosec nella mia azienda mi sta dicendo che se la connessione è proxy (nessun'altra cosa che attacca), l'applicazione riceverà un altro certificato dal server proxy e l'app dovrebbe avvisare di questo.

Ma il plugin sopra mi dice che la connessione è sicura anche su connessioni con proxy.

    
posta Lakshay 03.01.2017 - 07:18
fonte

2 risposte

1

Il team di infosec probabilmente intendeva usare un proxy di intercettazione come ZAP o Burp . Un proxy normale passa la connessione SSL attraverso, utilizzando il certificato originale. Con un proxy di intercettazione il tuo browser imposta una connessione al proxy, che ha un certificato diverso.

    
risposta data 03.01.2017 - 09:18
fonte
1

Cordova non supporta SSL Pinning - link . Il plug-in che stai utilizzando potrebbe fornire una funzione di blocco SSL approssimativa. Tuttavia, da un punto di vista della sicurezza, penso che un pinning approssimativo o falso di SSL sia buono come non avere SSL Pinning. Se hai davvero bisogno di applicare il blocco SSL nella tua App, considera la possibilità di sviluppare la tua app in modo nativo.

    
risposta data 06.02.2018 - 00:31
fonte

Leggi altre domande sui tag

Se si installa accidentalmente un'immagine del disco del sistema operativo dannoso in una VM, può causare danni? Quali sono le possibili impostazioni di sicurezza di un iPhone iOS per la massima sicurezza possibile?