في هالتغريدة بأعلمك كيف المخترقين يقدرون يوصلون للبيانات اللي طالعة من تطبيقات الجوال وأيضا كيف تحمي اتصالات تطبيقك بطريقة أسمها SSL pinning وأيضا كيف تتخطاها. هالطريقة تحمي تطبيقات الجوال من هجوم man-in-the-middle attack
يعني إذا أحد أعترض إتصالات جوالك مثلا كنت في مقهى و أحد قاعد يدّعي أنه هو ال router تبع المقهى فإذا كان التطبيق يستعمل SSL Pinning المفروض يقفل الاتصال ويقول لك أن الاتصال مهب امن نفس الشيء بالمتصفح إذا طلع لك زي كذا
وطريقة عمل الSSL Pinning ببساطة تأخذ الcertificate أو public key للback-end اللي المفروض يتواصل معه التطبيق وتحفظها داخل التطبيق وكل مرة يتواصل تطبيقك بالback-end يتأكد أن الcertificate اللي قاعد يقدمها الback-end نفس المحفوظة داخل التطبيق أو يقفل الاتصال
طيب أنك تسوي SSL pinning شيء جيد ويحمي بيانات مستخدمين التطبيق لكن من وجهة نظرpenetration tester هذا الشيء بيمنعك أنك تختبر ال end-points للتطبيق لكن بما أن التطبيق مثبت على جهازك الخاص فما فيه حماية ما تقدر تتخطاها :)
في هالمقالة شرحت عن كيفية أنك تتخطى حماية مثلا الSSL Pinning بإستعمال أداة #frida
walhajri.me
قراءة ممتعة : )
walhajri.me
قراءة ممتعة : )
جاري تحميل الاقتراحات...