APP HTTPS相互認証パケットキャプチャ_android

01ステートメント

任意の直接的または間接的な影響と損失による伝播に、ユーザ自身によって、生じた記事によって提供される情報の使用は責任がある、品の測定や公共レイセオンの作者は一切の責任を負いません。

レイセオン社は、すべての変更と、この記事の解釈を測定しました。この記事を転載または配布するには、すべての著作権ステートメントを含むこの記事の整合性を確保しなければなりません。公共の同意なしに測定されたレイセオン社は、厳密にどのような方法で商業目的のために使用してはならないこの記事の内容のいかなる修正や変更が禁止されています。

02テキスト

一つの試験では何の効果をもたらすことなく、クライアントから送信されたすべてのデータと一致して制御されている（シオマネキキャプチャはクライアント証明書の入力を求め）、通常のキャプチャにシャトルを得ることができる双方向の認証httpsの電話アプリに出くわしました実際に従事することを決めたアイデアは、どのような問題は、より多くの方法を採用することよりも何もありません。ライン上で暗号化された双方向の認証クライアント証明書を取得するには、秘密鍵限り。

非常に残念なことに、電話アプリがパックされ、そして基本的にダイナミックなデバッグの方法にさよならを言います。

次のように私は、資産ディレクトリに相互認証ライブラリファイルの証明書が見つかりました：

証明書ストアを使用するために、我々はまた、いくつかのソースコードは、次のコードにキーワードターゲティングを取得砲撃、パスワードの証明書ストアを見つける必要があります。

M8196aファンクションキーコード、特定のコードは次のよう:(関連する一切書かれた相互認証および鍵ストアの関連するコードが存在しないため、唯一の機能は、コメントを補足したJavaのAPIドキュメントで説明されるルックアップすることができます）

String str = "X509";
String str2 = "BKS";
Application b = MyApplication.m5574b();
SSLSocketFactory sSLSocketFactory = null;
try {
KeyStore instance = KeyStore.getInstance(str2);
KeyStore instance2 = KeyStore.getInstance(str2);
InputStream open = b.getAssets().open(f7624a); // 取了客户端证书的keystore
InputStream open2 = b.getAssets().open(f7625b); // 取了服务端相关证书的keystore文件
instance.load(open, f7626c.toCharArray()); // 通过密钥库密码打开客户端 keystore
instance2.load(open2, f7627d.toCharArray());// 通过密钥库密码打开服务端keystore
open.close();
open2.close();
SSLContext instance3 = SSLContext.getInstance("TLS");
TrustManagerFactory instance4 = TrustManagerFactory.getInstance(str);
KeyManagerFactory instance5 = KeyManagerFactory.getInstance(str);
instance4.init(instance2);
instance5.init(instance, f7626c.toCharArray());// 再次输入了密钥库的密码
instance3.init(instance5.getKeyManagers(), C2639d.m8197a(instance4.getTrustManagers()), null);
sSLSocketFactory = instance3.getSocketFactory();// 完成了sslsocketfactory
return sSLSocketFactory;
} catch (KeyStoreException e) {
………….省略