首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

APP Https双向认证抓包

在一次测试中偶然遇到一个https双向认证的手机app(fiddler抓包提示需要提供客户端证书),平时一梭子能搞定地抓包姿势没有效果了,本着所有客户端发出的数据都是操控的想法,决定搞一搞,无非是采用什么方式的问题...双向认证只要拿到客户端加密的私钥证书就行了。 很不巧,手机app被加壳了,基本上告别动态调试的方式。 ? 在assets目录下发现了用于双向认证的证书库文件,如下: ?...关键代码在函数m8196a中,具体代码如下:(因为没有写过相关双向认证和keystore的相关代码,只能通过java api 文档查查函数说明,补充了注释) String str = "X509"...误以为已经搞定了双向认证,打开了burpsuite导入证书: ? Pkcs12格式,暴露了我对证书相关格式的盲区,google告诉我用keytool可以进行证书格式的转换,如下: ? Emmmm?

3.9K11

强制更改社保卡密码,跟社保局的碰撞试验

昨天早晨,我妈叫我把回来重庆后参加工作的社保缴纳的截图发给她,她给村里的一个类似于会计工作的人,用于统计整个村的社保缴纳情况,我一想,这个简单呐,以前在惠州的时候也给过一次,登录网站 + 截图,简单快捷...可是当我登录上重庆的社保查询界面的时候,才发现事情并没有那么简单,第一,我好想没有社保卡,第二, 我并不知道社保查询密码。...于是我发微信问了下我们 HR 社保情况,谁知道我们美丽大方温柔漂亮的 HR 居然叫我直接联系第三方参保方,也就是重庆中智。一个电话打过,没人接,二个电话打过去没人接,三个电话打过去还是没人接。...所以我索性打电话给重庆社保局,看看能不能重置我的登录密码。一个电话打过,没人接,二个电话打过去没人接,三个电话打过去还是没人接。这个就有点绝望了,各位大佬们都是要休周末的,我有点绝望。

1.1K30
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    社保数据面临泄漏,大数据安全危机的序幕?

    据媒体报道,目前社保系统已经成为个人信息泄露“重灾区”,目前重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄露。...面临泄漏危机的社保数据究竟涉及多少人,它的涵盖内容又是什么呢?...据报道称,“目前围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个,仅社保类信息安全漏洞统计就达到5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、...社保数据面临泄漏,难道是大数据安全危机的序幕?我这说法虽然有些危言耸听,却不得不引起我们的关注。 社保数据为什么会有泄漏的危机?除了监管、法规等,笔者认为还可能有着几个因素。...第一个,社保数据库网站的“先天性缺陷”。如果保管社保数据的数据库网站在设计之初就有缺陷,那可供黑客利用的安全漏洞就难以避免。

    1.1K80

    app与后台交互之间的几种安全认证机制

    1、HTTP简单基本认证方式 这个是早期交互用得比较多的一种方式,主要是使用用户名和密码来交互,由于在每次的交互中,用户名和密码都会暴露给第三方,那么这么做是不可取的,风险十分大,所以这种认证方式并没有流传开来...2、OAuth(OAuth2) 这个就是开放平台的概念,就像你登录第三方网站或者app的时候可以使用qq或者微信登录,那么登录后第三方可以获取你的个人信息,这就是开放授权的概念,理念是通过token...这个token可以由你来限制时间,第三方获取你指定的信息,从而达到了一个安全认证的效果。...这几种认证方式中JWT是最安全的,并且可以防范一定的攻击。所以比较推荐。

    1.3K40

    app与后台交互之间的几种安全认证机制

    1、HTTP简单基本认证方式 这个是早期交互用得比较多的一种方式,主要是使用用户名和密码来交互,由于在每次的交互中,用户名和密码都会暴露给第三方,那么这么做是不可取的,风险十分大,所以这种认证方式并没有流传开来...2、OAuth(OAuth2) 这个就是开放平台的概念,就像你登录第三方网站或者app的时候可以使用qq或者微信登录,那么登录后第三方可以获取你的个人信息,这就是开放授权的概念,理念是通过token...这个token可以由你来限制时间,第三方获取你指定的信息,从而达到了一个安全认证的效果。...这几种认证方式中JWT是最安全的,并且可以防范一定的攻击。所以比较推荐。

    98120

    详解基于Android App 安全登录认证解决方案

    近几年移动互联网的高速发展,智能手机的使用用户呈现爆炸性增长,手机终端上的App 种类繁多,大多数App 都需要与后台系统进行交互,交互的第一步需要进行登录认证,过于简单的认证方式可能被破解从而造成用户信息的泄露甚至威胁着用户的财产安全...为此基于Android 系统,对比现有几种常见的App 登录认证方式,并提出一种采用RSA 非对称加密和加入Token 时效机制的登录认证解决方案。...1.2 App登录认证方式 由于App客户端无法处理Cookie信息,因此App登录认证无法使用Web认证方式中的Cookie认证方式,为了登录状态的保持,一般会模拟Cookie认证方式,即在App端发起登录认证请求后...App中非常常用的一种登录认证方式,他的实现过程是,由App端发起登录请求,服务器端在验证成功后生成一份Token信息保存到用户表中并设置一定的时效,同时将此Token返回给App端,App端将此Token...本文章详细探讨了常见的Web 登录认证方式和App登录认证方式, 对现在比较常用的App 登录认证方式Token 认证机制的安全漏洞进行了讨论,在这个基础上提出了改进的Token 认证登录机制, 通过采用

    2.7K10

    没有社保的码农,年后可以考虑跳槽了

    我回复他,当然是看这家公司他交不交社保,有没有五险一金。 然后他追问我,社保有这么重要吗? 我说,给不给缴纳五险一金,是我判断这个公司是不是垃圾的标志。...昨天就有同行在技术群里吐槽,说他们公司发工资了,扣了他600多的税(其中包含社保)。 ? 群里立马有人回复,羡慕你们有社保的、羡慕你们12号之前发工资的等等。...为什么有些公司不交社保 在北京,如果你的税前工资10000元,扣除五险一金和个税,到手7454.30元,同时企业还要付出4410元。 对于公司而言,给上社保的成本很高。...所以有些公司宁愿多给员工发一些工资,也不愿意去为员工缴纳社保,而且还与员工达成协议,签两份合同,即所谓的阴阳合同。 对于员工而言,交了社保,每个月到手工资可能就会少几百甚至一千块钱。...没有社保,这公司不去也罢 现在好多小公司小企业,面试招聘的时候,只字不提“五险一金”,有的甚至理直气壮地告诉你,我们公司没有社保,言下之意就是,你爱来不来。 像这样没有社保的公司,不去也罢。

    75210

    某社交App cs签名算法解析(一) SSL双向认证

    李老板: 你去这个App上晃晃,据说上面妹子很多。 [main.png] 我去,包都抓不到,耍个毛线呀。...TIP: 新鲜热乎的 v3.83.0 二、步骤 SSL双向认证 问了下谷歌,有不少同道都遇到了返回值是 400 No required SSL certificate was sent 这种情况。...他们一致认为,是遇到了SSL双向认证。 不过谷歌传来的消息是,搞SSL双向认证很简单,把客户端证书,搞出来,然后再导入到 Charles,就大功告成了。...Java.perform(function() { console.log("在https双向认证的情况下,dump客户端证书为p12....三、总结 frida的spawn模式启动这个App的时候会崩掉,我认为是Xposed的原因,把Xposed关掉就好了。当然也许是我的手机环境有问题。

    1.4K40

    Laravel5.4简单实现app接口Api Token认证方法

    在开发中许多 API 通常在返回响应之前都需要某种形式的认证,有些时候,一个认证的请求和一个未认证的请求,响应可能不同。...在web项目中,实现认证比较轻松,那么前后端分离的项目中,我们要怎么实现认证,今天这篇文章就以 API token 认证机制,使用Token可以解决laravel API的无状态认证。...}); } } 二、然后使用下面的命令将字段添加到表中: php artisan migrate 三、用户注册: 在注册的控制器文件的创建用户中添加 api_token 字段: 我这里的控制器是App...与账号密码等信息一起存进User表 $user = User::create($data); //存进数据库 return $token; //这里面的逻辑自己写 我这里只是简单实现 } 最后,不要忘记在 App...注意,这个只是基础认证,现在开发还是用别人已经开发好的插件好,比如oAuth2,basic,jwt,Passport等等。

    1.5K20

    面对社保征管大变革,企业和员工如何破局?

    1.jpg 众所周知,由于之前地保社保部门征收的力度不强;社保管理一直存在很大的漏洞;企业普遍存在少缴社保的情况,最常见的操作方式是不以全部工资为基数。...通过下面两张表,我们能看到国家的社保参保覆盖面持续提升,但企业社保基数合规一直停滞不前。 2.jpg 从2019年1月1日起,社保费将由税务部门统一据实征收。...再来看看下面两张个人缴费明细表 5.jpg 6.jpg 整体来看,若一家北京的企业之前按照最低下限标准给员工缴纳社保,完整合规按实际薪酬缴纳社保,企业应为该员工补足的社保差额为1860元...面对新的社保改革政策,我们更需要运用互联网技术和专业人力资源管理工具去筹划企业的薪酬社保管理。...企业通过全程云HR云端人事系统,直接实现员工社保增减员、制定适用多种用工模式的薪酬账套方案,自动核算薪资和社保项目;紧跟政策灵活设置社保缴费基数,轻松应对本次社保改革。 12.jpg

    1.8K30

    Windows认证 | 域认证

    在Windows中的身份认证方式有很多,也在不断的升级,但是在域中,依旧使用的是Kerberos认证。...Kerberos 是一种网络认证协议,它的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据,也就是说它的认证完全是从一个不安全的网络环境出发进行认证的...其实看到这张图后,也就能明白Kerberos认证的是由三方来完成的,他们分别是client、server、KDC(Key Distribution Center)。...域认证的大致流程是这样的: client先向DC请求,要求获取访问server的权限,当DC接收到请求之后,先由AS向AD发起请求,查看此client是否在白名单中,成功后,则由AS将TGT返回给client...其实整个Kerberos认证的流程就是不断交换密钥,使用对称加密算法,解密验证身份和时间戳,最后达到认证的效果。

    3.1K10

    Shiro认证and认证流程

    什么是认证也就是身份认证,就是判断一个用户是否为合法用户的处理过程,通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令是否一致,来判断用户的身份是否正确。...主体) 用户 Principal(身份信息) 是主体(Subject)进行身份认证的标识...,标识必须具有唯一性,如用户名、手机号、邮箱地址等Credential(凭证信息)是只有主体自己知道的安全信息,如密码、证书等 使用 ini 完成认证在 Maven 中添加依赖...()); }}认证流程图认证代码执行流程调用 subject.login 方法进行登录,其会自动委托给 securityManager.login 方法进行登录。...securityManager 通过 Authenticator(认证器)进行认证

    22430

    应用移动端身份证识别技术,快速提升APP实名认证效率

    近几年,各种各样的APP正在取代PC端软件成为用户应用方式的首选,而在APP中,用户信息注册是必不可少的环节,尤其是大型公众平台、第三方支付平台、二手车交易平台等,更是有庞大的用户群体来进行信息输入...因此,基于移动终端的OCR识别技术的延伸应用—移动端身份证识别应运而生,解决了APP中用户实名注册过程中的手动录入信息的痛点!...移动端身份证识别可以集成在APP中后,利用移动端摄像头拍摄证件并识别信息、完成信息录入。一般人手动录入身份证信息大约需要1分钟左右,而移动端身份证识别能将此过程提升至只需1~2秒。...随着移动互联网的快速发展,越来越多厂商把目光聚焦在了手机端APP上,将移动端身份证识别SDK应用在iOS/安卓的手机APP里面,以满足需求!

    3.2K00

    APP 申请微信支付时提示:你输入的APPID认证主体名称与实际认证主体不一致。。。

    背景 近期在进行APP的开发过程中 —— 【uniapp 第三方支付】,需要 接入微信支付 功能 按文档提示,要求到 微信开放平台 + 微信商户平台 进行一系列的设置 但是,在商户号中申请绑定...APPID 时,总是提示:"你输入的APPID认证主体名称与实际认证主体不一致,请检查修改后重试 " 原因推测 首先,我的微信开放平台账号是在新公司成立之前就已经注册并进行了认证,虽然,在这过程中...,绑定 “公众账号、小程序、网站应用” 都没有问题,但是,对于APP移动应用的创建要求更加严格吧 为了保证之前的应用不受影响,最好的解决方式就是重新注册一个开发者账号,并且保证: 认证的主体(企业名称

    17.9K2215
    领券