我使用Charles检查发送了哪些数据,将我的应用程序发送到HTTPS。我在手机上安装了Charles CA证书,因此,我能够解密所有SSL流量。

但是我找到了应用程序,无法看到SSL流量。如何在我自己的应用程序中实现此行为?这样一来,在中间攻击中就不会有人了。

最佳答案


这可以通过证书/公钥固定来完成,在这种情况下,您不必对照本地根证书检查服务器证书,而是要确保仅获得期望的证书。有关详细信息和代码示例,请参见OWASP

关于Android:防止嗅探(例如,使用CharlesProxy)SSL流量,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/27289859/

10-10 14:29