AndroidアプリケーションでSSLピン留めが正常に機能しているかどうかをテストするための環境をシミュレーションする方法は?
私は this Cordovaプラグインを使用してAndroidアプリケーションにSSLピン留めを実装しています。
テスト環境が正常に機能しているかどうかをテストするためのシミュレーション方法がわかりません。
私の会社のinfosecチームは、接続がプロキシされている場合(他の攻撃がない場合)、アプリケーションはプロキシサーバーから別の証明書を取得し、アプリはこれについて警告する必要があると言っています。
しかし、上記のプラグインは、接続がプロキシ接続でも安全であることを教えてくれます。
Infosecチームはおそらく [〜#〜] zap [〜#〜] または Burp などのインターセプトプロキシを使用することを意味していました。通常のプロキシは、元の証明書を使用してSSL接続を通過させます。代行受信プロキシを使用すると、ブラウザは異なる証明書を持つプロキシへの接続を設定します。
CordovaはSSLピン留めをサポートしていません- https://cordova.Apache.org/docs/en/latest/guide/appdev/security/#certificate-pinning 。使用しているプラグインがおおよそのSSLピン留め機能を提供している可能性があります。ただし、セキュリティの観点から、おおよそのまたは偽のSSLピン留めは、SSLピン留めがないのと同じくらい良いと思います。アプリにSSLのピン留めが本当に必要な場合は、アプリをネイティブで開発することを検討してください。