超级会员免费看
保障移动设备安全:MITHYS系统与浏览器安全控制解析
1. MITHYS系统实现
MITHYS系统为解决移动设备SSL漏洞问题而设计,其核心实现为MITHYSApp安卓应用。该应用作为MITHYS代理组件,与MITHYS WebServer协同工作。
- MITHYSApp WebServer :基于亚马逊弹性计算云(Amazon EC2)的微型实例运行,使用Apache Tomcat服务器和Servlet容器。唯一的Servlet是GetSSLCertificateServlet,接收目标URL和HTTP方法两个参数,向目标URL发送HTTPS请求并获取SSL证书链,以JSON格式返回Base64序列化的证书链。为防止中间人攻击,该Servlet仅支持HTTPS,并使用MITHYS认证机构(MITHYS CA)生成的SSL证书。
- MITHYSApp安卓应用 :依赖开源安卓库SandroProxyLib,该库基于OWASP WebScarab项目,为安卓提供现成的代理功能。MITHYSApp默认作为安全渗透测试器,每次收到新的HTTPS请求时,充当中间人并伪造临时假证书,这些证书由MITHYS CA生成,主机名与目标服务器匹配。安装时,用户需安装MITHYS CA证书并设置当前Wi-Fi连接的代理地址,MITHYS会引导用户完成这些步骤,且仅需在安装时执行一次。
2. 功能模块实现
- 安全渗透测试器 :为正确实现该组件,对SandroProxyLib库进行了修改和扩展。
- 确定请
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
