ionic3 设置ssl-pinning

最新推荐文章于 2025-11-14 17:37:11 发布

原创最新推荐文章于 2025-11-14 17:37:11 发布 · 968 阅读

0 ·

CC 4.0 BY-SA版权

ionic 专栏收录该内容

13 篇文章

订阅专栏

本文介绍如何在Ionic应用中实现SSL Pinning的安全措施。主要包括.pem及.cer证书文件的生成过程，如何将证书文件放置于项目的适当位置，以及安装cordova-plugin-advanced-http插件并启用SSL Pinning的方法。

1. 生成.pem文件

openssl s_client -showcerts -connect your.domain:443 -servername your.domain:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cert.pem

2. 生成.cer文件

openssl x509 -inform PEM -in cert.pem -outform DER -out cert.cer

3. 在www目录下创建certificates目录，并将上步生成的cert.cer文件拷贝到目录中。（或者是放到其它目录下，通过ionic_copy拷贝到www目录下）

4. 安装cordova-plugin-advanced-http插件

4. 在app.component.ts中调用

this.http.enableSSLPinning(true);

注意：

设置ssl-pinning后访问http地址会报错，可以自行通过环境变量等判断是否需要设置。

参考文章：

http://uncaughterror.com/programming/ionic3/how-to-integrate-ssl-in-ionic-3-using-cordova-plugin/

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

malonely

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Android 开发中的SSL pinning

xiangzhihong8的专栏

12-17

1283

在日常的安全渗透过程中，我们经常会遇到瓶颈无处下手，这时候如果攻击者从APP进行突破，往往会有很多惊喜。但是目前市场上的APP都会为防止别人恶意盗取和恶意篡改进行一些保护措施，比如模拟器检测、root检测、APK加固、代码混淆、代码反调试、反脱壳、签名校验等等对抗机制。而测试人员对APP进行渗透的首步操作通常就是上burp或者Charles这类抓包工具进行抓包，查看请求记录里的域名及链接地址是否可以进一步利用。我们都知道http协议传输的是明文信息，是可以直接捕获的，从而造成了数据泄露。

绕过 Android SSL Pinning

WLANQY的博客

02-12

764

转载请注明出处。请前往 Tiga on Tech查看原文以及更多有趣的技术文章。SSL Pinning 指的是，对于 target sdk version > 23 的 Android App，App 默认指信任系统的根证书或 App 内指定的证书，而不信任用户添加的第三方证书。

参与评论您还未登录，请先登录后发表或查看评论

SSL-pinning-with-ionic-cordova-example:使用SSL Pinning进行HTTPS连接的简单Ionic3示例应用程序（cordova-plugin-advanced-http）

05-15

SSL与离子cordova固定示例使用SSL Pinning进行HTTPS连接的简单Ionic3示例应用程序对于新程序员而言，将SSL固定与cordova-plugin-advanced-http插件一起使用是一项繁琐的任务。插件的安装和使用不是那么复杂，但是大多数人都不知道如何获取用于SSL固定目的的.cer文件。您可以阅读我的博客文章以获得有关此的更多信息。如何生成.cer文件（证书密钥文件）观看此视频您必须将证书文件放在以下位置才能进行android构建平台\ android \资产或者平台\ android \ app \ src \ main \ assets 谢谢

ssl pining_通过android上的ssl pining保护您的https连接

weixin_26745383的博客

09-17

591

ssl piningWelcome to this serie of articles about Android Security and how you can improve tremendously the protection of your users, by implementing 3 things that provide a great effort/safety ratio....

【亲测免费】探索TikTok SSL Pinning Bypass：一项安全研究与逆向工程的实践

最新发布

gitblog_00025的博客

11-14

1313

该项目由Eltion维护，可以在上找到，它揭示了如何绕过TikTok应用中的SSL pinning机制。在深入了解之前，让我们先了解一下SSL pinning和其重要性。 ## 什么是SSL Pinning？ SSL（Secure Sockets Layer）或其更新版本TLS（Transport Layer Security）是互联网上广泛使用的加密协议，用于确保数据在客户端与服务器之间的传

Android-SSL-Pinning-WebViews:一个简单的演示应用程序，演示了Android WebViews中的证书固定和schemedomain白名单

05-13

Android WebView中的证书固定和方案/域白名单一个简单的演示应用程序，演示： Android WebViews中的证书固定 Android WebView中的方案和域白名单使用OkHttp在网络级别实现固定和白名单。然后，通过扩展WebViewClient并使用OkHttp进行请求来保护WebView。该解决方案具有性能缺陷：通过扩展WebViewClient并覆盖shouldInterceptRequest ，所有请求将按顺序执行，这会缩短加载时间。请让我知道是否有解决方案。

Ionic3-D3-Chart:Ionic3 D3.js

05-15

【标题】"Ionic3-D3-Chart：使用D3.js在Ionic3框架中的图表应用" 【描述】"这个项目展示了如何在Ionic3框架内集成D3.js库来创建动态、交互式的图表。它是一个Android APK应用程序，允许用户在移动设备上体验基于D3...

Woocommerce-api-ionic3-mobile-app:使用Ionic 3的WooCommerce-Api项目

05-10

Woocommerce Api Ionic3移动应用程序在Ionic3中使用WooCommerce API的WooCommerce商店。用户可以在该应用程序中搜索产品。用户可以按类别选择产品。用户可以下订单，甚至下订单。用户可以注册和登录，没有...

ionic3-music-player

05-17

简单的离子音乐播放器此示例仅适用于android Decvie。插件：-cordova-plugin-media 5.0.2-cordova-plugin-filechooser 1.0.1-cordova-plugin-file 6.0.1-cordova-plugin-filepath 1.3.0“ andriod引擎版本：6.4.0

ionic3-cordova-barcode-qrcode-scanner-master_ionic3_phone_

09-29

1. **Ionic 3 基础**：包括如何设置项目结构、使用 AngularJS 语法、创建页面、服务和指令，以及配置 Ionic 3 应用的导航系统。 2. **Cordova 集成**：了解如何安装和配置 Cordova，以及如何添加特定的设备插件，...

Android 7.0+抓包https突破ssl-pinning方案抓包插件.zip

03-17

Android 7.0+ 抓包https方案，突破ssl-pinning 使用方法：https://blog.youkuaiyun.com/u014644574/article/details/104930877

pwd-ionic:用于 https 的离线移动混合 HTML5 Ionic 应用程序

06-07

pwd-离子 pwd-离子免费软件：BSD 许可证特征混合 HTML5 移动应用程序：离子应用程序和构建脚本源自generator-ionic 离线访问密码来自 ( ) 的功能：从短语生成可打印的钥匙箱从密钥箱中生成一个字符串和另一个字符串（字母、字母数字、带标点符号的字母数字）

Android APP SSLPinning证书绑定绕过

samli的博客

03-20

3285

现在测试过程中有没有感觉遇到能直接抓包的APP，简直要拜菩萨，经常测试APP的心路历程是，欸，我的证书怎么又出问题了，重新导证书后，欸，怎么还是抓不到MMP…。为什么https的网站使用伪证书可以抓到，而在app里面同样的方法就抓不到？浏览器允许用户忽略证书告警；浏览器允许用户导入证书到证书信任区，从而伪造证书；也就是我们常用的burpsuite导证书操作，所以网站可以利用这种方式...

android逆向学习--绕过非标准http框架和非系统ssl库app的sslpinning（SSL_CTX_set_custom_verify）

zhangmiaoping23的专栏

08-23

2162

随意在安卓应用市场上下载了一个电子书app，发现还是有点东西的： Charles首次抓包报错如下：第一反应就是有sslpinning，感觉挺简单的，但是几乎找了所有公开的unsslpinning脚本都无济于事， dump证书也如此。对apk解包时发现里面有okhttp3，以为使用了okhttp3库，但hook后发现并不如此。既然okhttp3 hook不到，就找了更深层次点的函数SSLOutputStream的write, 奇怪的是也没发现有调用，突然意识到事情可能没那么简单.

Android 7.0+抓包https突破ssl-pinning方案

u014644574的博客

03-17

6448

一、背景 Android 7.0 之后增加了对第三方证书的限制，抓包工具（charles、fiddler等）提供的证书都无法通过校验，也就无法抓取HTTPS请求了。解决该问题一般思路：将设备root，将证书安装到system分区。利用Xposed框架，利用justTrustme/SSL-killer等模块绕过第三方ssl的校验。二、virtualXposed简介经常折腾 And...

【Android逆向】okhttp 证书绑定流程 ssl pinning分析

tx123hy的博客

12-31

1885

本次通过代码实现了 https 证书绑定也就是 ssl pinning。分析了 okhttp 的证书校验逻辑，其中 startHandshake 是一个hook点。在这时刻往下就是app中的证书校验逻辑。文章后半部分给出了证书校验的绕过逻辑，总体来说在 app 端的证书校验，使用 hook手段绕过。服务端的证书校验，是把 app 端的证书导入抓包工具解决，其中app端的证书定位与证书密码获取也是通过hook进行定位。文章很难面面俱到，如果有更多想要交流的可以来深入探讨一下哈 lvdouzhou_。

[免费专栏] Android安全之绕过SSL Pinning抓HTTPS数据