隱藏的iOS HTTPS從小提琴手

Question

我用了我的iPhone應用程序的HTTPS用我自己的API調用來通信。

我注意到，當我嘗試做數據包嗅探上的HTTPS它不會顯示任何關鍵信息。但是當我嘗試Fiddler2並在我的iPhone（由Fiddler2發佈）上安裝了受信任的證書時，我已經能夠看到我所有的HTTPS調用了！這可能導致嚴重的安全問題。

我與其他應用程序嘗試這樣做，因爲如果他們以某種方式保護自己有些人不會出現，即使在提琴手的東西！

怎麼能保護我的應用程序？

感謝

---

---額外的信息，所選擇的解決方案----

如果你正在使用AFNetworking，從1.1版本開始，你可以做以下解決問題：

以下內容添加到您的項目，Prefix.pch

#define _AFNETWORKING_PIN_SSL_CERTIFICATES_ =1 

確保你已經添加的安全框架，然後將它導入在AFURLConnectionOperation.m文件

#import <CommonCrypto/CommonDigest.h> 

添加這個額外的功能將文件

-(NSString*) sha256:(NSString*)input 
{ 
    const char *cstr = [input cStringUsingEncoding:NSUTF8StringEncoding]; 
    NSData *data = [NSData dataWithBytes:cstr length:input.length]; 

    uint8_t digest[CC_SHA256_DIGEST_LENGTH]; 

    CC_SHA256(data.bytes, data.length, digest); 

    NSMutableString* output = [NSMutableString stringWithCapacity:CC_SHA256_DIGEST_LENGTH * 2]; 

    for(int i = 0; i < CC_SHA256_DIGEST_LENGTH; i++) 
     [output appendFormat:@"%02x", digest[i]]; 

    return output; 
} 

替換該行

if ([[[self class] pinnedCertificates] containsObject:certificateData]) 

與此一

if ([[self sha256:[certificateData description]] isEqualToString:SSL_CERTIFICATE_SHA256]) 

確保你已經計算的服務器證書的SHA256和前綴文件

#define SSL_CERTIFICATE_SHA256 @"<certificate SHA256 value>" 

進行定義的價值！

Answer 1

所以你正在使用Fiddler2爲你的iPhone的代理。所有的請求將通過提琴手。提琴手將會像這是終點，並將返回您所信任的證書。然後它會使用新的請求將請求轉發到實際的URL。因此它能夠讀取響應。然後它將返回原始請求中的數據。如果您想在應用程序中防止這種情況發生，那麼您必須添加自己的證書驗證。你可以檢查二進制級別的證書或分析證書和驗證領域（如發行人）

我發現了有關測試證書的信息，本教程http://www.inmite.eu/en/blog/20120314-how-to-validate-ssl-certificates-iOS-client 或許這也可以幫助：http://www.cocoanetics.com/2013/02/rfc-dtcertificateviewer/

您還可以添加通過添加您自己的註冊圖層來提供額外的安全級別。服務器需要使用腳本數據進行響應，然後您將解密該響應。