iOS 如何防止抓包

iOS 如何防止抓包

1屑迂、抓包原理

為了防止被抓包那么就要了解抓包的原理瑞驱。

其實原理很是簡單:一般抓包都是通過代理服務(wù)來冒充你的服務(wù)器,客戶端真正交互的是這個假冒的代理服務(wù)和屎,這個假冒的服務(wù)再和我們真正的服務(wù)交互拴驮,這個代理就是一個中間者 ,我們所有的數(shù)據(jù)都會通過這個中間者柴信,所以我們的數(shù)據(jù)就會被抓取套啤。HTTPS 也同樣會被這個中間者偽造的證書來獲取我們加密的數(shù)據(jù)。

2随常、防止抓包

為了數(shù)據(jù)的更安全潜沦,那么我們?nèi)绾蝸矸乐贡蛔グ?/p>

第一種思路是:如果我們能判斷是否有代理,有代理那么就存在風(fēng)險绪氛。

第二種思路:針對HTTPS 請求唆鸡。我們判斷證書的合法性。

第一種方式的實現(xiàn):

一枣察、發(fā)起請求之前判斷是否存在代理争占,存在代理就直接返回燃逻,請求失敗。

CFDictionaryRef dicRef = CFNetworkCopySystemProxySettings();
CFStringRef proxyStr = CFDictionaryGetValue(dicRef, kCFNetworkProxiesHTTPProxy);
NSString *proxy = (__bridge NSString *)(proxyStr);
復(fù)制代碼

<pre style="margin: 0px; padding: 0px; overflow: auto; word-wrap: break-word; font-family: "Courier New" !important; font-size: 12px !important;">+ (BOOL)getProxyStatus {
NSDictionary *proxySettings = NSMakeCollectable([(NSDictionary *)CFNetworkCopySystemProxySettings() autorelease]);
NSArray *proxies = NSMakeCollectable([(NSArray *)CFNetworkCopyProxiesForURL((CFURLRef)[NSURL URLWithString:@"http://www.baidu.com"], (CFDictionaryRef)proxySettings) autorelease]);
NSDictionary *settings = [proxies objectAtIndex:0];

NSLog(@"host=%@", [settings objectForKey:(NSString *)kCFProxyHostNameKey]);
NSLog(@"port=%@", [settings objectForKey:(NSString *)kCFProxyPortNumberKey]);
NSLog(@"type=%@", [settings objectForKey:(NSString *)kCFProxyTypeKey]); if ([[settings objectForKey:(NSString *)kCFProxyTypeKey] isEqualToString:@"kCFProxyTypeNone"])
{ //沒有設(shè)置代理
    return NO;
} else { //設(shè)置代理了
    return YES;
}

}</pre>

復(fù)制代碼

二臂痕、我們可以在請求配置中清空代理伯襟,讓請求不走代理

我們通過hook到sessionWithConfiguration: 方法。然后清空代理

+ (void)load{
  Method method1 = class_getClassMethod([NSURLSession class],@selector(sessionWithConfiguration:));
  Method method2 = class_getClassMethod([NSURLSession class],@selector(px_sessionWithConfiguration:));
  method_exchangeImplementations(method1, method2);

  Method method3 = class_getClassMethod([NSURLSession class],@selector(sessionWithConfiguration:delegate:delegateQueue:));
  Method method4 = class_getClassMethod([NSURLSession class],@selector(px_sessionWithConfiguration:delegate:delegateQueue:));
  method_exchangeImplementations(method3, method4);
}

+ (NSURLSession*)px_sessionWithConfiguration:(NSURLSessionConfiguration*)configuration delegate:(nullable id)delegate delegateQueue:(nullable NSOperationQueue*)queue
{
      if(configuration) configuration.connectionProxyDictionary = @{};

  return [self px_sessionWithConfiguration:configuration delegate:delegate delegateQueue:queue];
}

+ (NSURLSession*)px_sessionWithConfiguration:(NSURLSessionConfiguration*)configuration
{

      if(configuration) configuration.connectionProxyDictionary = @{};

  return [self px_sessionWithConfiguration:configuration];
}

? 第二種思路的實現(xiàn):

主要是針對HTTPS 請求刻蟹,對證書的一個驗證逗旁。

通過 SecTrustRef 獲取服務(wù)端證書的內(nèi)容

static NSArray * AFCertificateTrustChainForServerTrust(SecTrustRef serverTrust) {
   CFIndex certificateCount = SecTrustGetCertificateCount(serverTrust);
   NSMutableArray *trustChain = [NSMutableArray arrayWithCapacity:(NSUInteger)certificateCount];

   for (CFIndex i = 0; i < certificateCount; i++) {
       SecCertificateRef certificate = SecTrustGetCertificateAtIndex(serverTrust, i);
       [trustChain addObject:(__bridge_transfer NSData *)SecCertificateCopyData(certificate)];
   }

   return [NSArray arrayWithArray:trustChain];
}

然后讀取本地證書的內(nèi)容進(jìn)行對比

 NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"certificate" ofType:@"cer"];//證書的路徑
   NSData *certData = [NSData dataWithContentsOfFile:cerPath];
SSet<NSData*> * set = [[NSSet alloc]initWithObjects:certData  , nil];  // 本地證書內(nèi)容
// 服務(wù)端證書內(nèi)容
NSArray *serverCertificates = AFCertificateTrustChainForServerTrust(serverTrust);
           
           for (NSData *trustChainCertificate in [serverCertificates reverseObjectEnumerator]) {
               if ([set containsObject:trustChainCertificate]) {
                   // 證書驗證通過
               }
           }

SSL Pinning(AFN+SSL Pinning)推薦

SSL Pinning,即SSL證書綁定舆瘪。通過SSL證書綁定來驗證服務(wù)器身份片效,防止應(yīng)用被抓包。
1英古、取到證書
客戶端需要證書(Certification file)淀衣, .cer格式的文件≌俚鳎可以跟服務(wù)器端索取膨桥。
如果他們給個.pem文件,要使用命令行轉(zhuǎn)換:

    openssl x509 -inform PEM -in name.pem -outform DER -out name.cer

如果給了個.crt文件唠叛,請這樣轉(zhuǎn)換:

    openssl x509 -in name.crt -out name.cer -outform der

如果啥都不給你只嚣,你只能自己動手了:

openssl s_client -connect www.website.com:443 </dev/null 2>/dev/null | openssl x509 -outform DER > myWebsite.cer**

2、把證書加進(jìn)項目中
把生成的.cer證書文件直接拖到你項目的相關(guān)文件夾中艺沼,記得勾選Copy items if neede和Add to targets册舞。
3、參數(shù)名意思
AFSecurityPolicy
SSLPinningMode
AFSecurityPolicy是AFNetworking中網(wǎng)絡(luò)通信安全策略模塊障般。它提供三種SSL Pinning Mode

/**
 ## SSL Pinning Modes

 The following constants are provided by `AFSSLPinningMode` as possible SSL pinning modes.

 enum {
 AFSSLPinningModeNone,
 AFSSLPinningModePublicKey,
 AFSSLPinningModeCertificate,
 }

 `AFSSLPinningModeNone`
 Do not used pinned certificates to validate servers.

 `AFSSLPinningModePublicKey`
 Validate host certificates against public keys of pinned certificates.

 `AFSSLPinningModeCertificate`
 Validate host certificates against pinned certificates.
*/

AFSSLPinningModeNone:完全信任服務(wù)器證書调鲸;
AFSSLPinningModePublicKey:只比對服務(wù)器證書和本地證書的Public Key是否一致,如果一致則信任服務(wù)器證書挽荡;
AFSSLPinningModeCertificate:比對服務(wù)器證書和本地證書的所有內(nèi)容藐石,完全一致則信任服務(wù)器證書;
選擇那種模式呢?
AFSSLPinningModeCertificate:最安全的比對模式定拟。但是也比較麻煩于微,因為證書是打包在APP中,如果服務(wù)器證書改變或者到期青自,舊版本無法使用了株依,我們就需要用戶更新APP來使用最新的證書。
AFSSLPinningModePublicKey:只比對證書的Public Key性穿,只要Public Key沒有改變勺三,證書的其他變動都不會影響使用雷滚。
如果你不能保證你的用戶總是使用你的APP的最新版本需曾,所以我們使用AFSSLPinningModePublicKey。

allowInvalidCertificates

/**
 Whether or not to trust servers with an invalid or expired SSL certificates. Defaults to `NO`.
 */
@property (nonatomic, assign) BOOL allowInvalidCertificates;

是否信任非法證書,默認(rèn)是NO呆万。
validatesDomainName

/**
 Whether or not to validate the domain name in the certificate's CN field. Defaults to `YES`.
 */
@property (nonatomic, assign) BOOL validatesDomainName;

是否校驗證書中DomainName字段商源,它可能是IP,域名如*.google.com,默認(rèn)為YES谋减,嚴(yán)格保證安全性牡彻。

4、使用AFSecurityPolicy設(shè)置SLL Pinning

+ (AFHTTPSessionManager *)manager
{
    static AFHTTPSessionManager *manager = nil;
    static dispatch_once_t onceToken;
    dispatch_once(&onceToken, ^{
    
        NSURLSessionConfiguration *config = [NSURLSessionConfiguration defaultSessionConfiguration];
        manager =  [[AFHTTPSessionManager alloc] initWithSessionConfiguration:config];

        AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey withPinnedCertificates:[AFSecurityPolicy certificatesInBundle:[NSBundle mainBundle]]];
        manager.securityPolicy = securityPolicy;
    });
    return manager;
}

擴(kuò)展
Android 防止抓包
1出爹、單個接口訪問不帶代理的

 URL url = new URL(urlStr);  
   urlConnection = (HttpURLConnection) url.openConnection(Proxy.NO_PROXY);

2庄吼、OkHttp框架

    OkHttpClient client = new OkHttpClient().newBuilder().proxy(Proxy.NO_PROXY).build();
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個濱河市严就,隨后出現(xiàn)的幾起案子总寻,更是在濱河造成了極大的恐慌,老刑警劉巖梢为,帶你破解...
    沈念sama閱讀 216,470評論 6 501
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件渐行,死亡現(xiàn)場離奇詭異,居然都是意外死亡铸董,警方通過查閱死者的電腦和手機(jī)祟印,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,393評論 3 392
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來粟害,“玉大人蕴忆,你說我怎么就攤上這事∥掖牛” “怎么了孽文?”我有些...
    開封第一講書人閱讀 162,577評論 0 353
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長夺艰。 經(jīng)常有香客問我芋哭,道長,這世上最難降的妖魔是什么郁副? 我笑而不...
    開封第一講書人閱讀 58,176評論 1 292
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任减牺,我火速辦了婚禮,結(jié)果婚禮上存谎,老公的妹妹穿的比我還像新娘拔疚。我一直安慰自己,他們只是感情好既荚,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,189評論 6 388
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布稚失。 她就那樣靜靜地躺著,像睡著了一般恰聘。 火紅的嫁衣襯著肌膚如雪句各。 梳的紋絲不亂的頭發(fā)上吸占,一...
    開封第一講書人閱讀 51,155評論 1 299
  • 城市分裂傳說
    那天,我揣著相機(jī)與錄音凿宾,去河邊找鬼矾屯。 笑死,一個胖子當(dāng)著我的面吹牛初厚,可吹牛的內(nèi)容都是我干的件蚕。 我是一名探鬼主播,決...
    沈念sama閱讀 40,041評論 3 418
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼产禾,長吁一口氣:“原來是場噩夢啊……” “哼排作!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起亚情,我...
    開封第一講書人閱讀 38,903評論 0 274
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤纽绍,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后势似,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體拌夏,經(jīng)...
    沈念sama閱讀 45,319評論 1 310
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,539評論 2 332
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年履因,在試婚紗的時候發(fā)現(xiàn)自己被綠了障簿。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 39,703評論 1 348
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡栅迄,死狀恐怖站故,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情毅舆,我是刑警寧澤西篓,帶...
    沈念sama閱讀 35,417評論 5 343
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站憋活,受9級特大地震影響岂津,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜悦即,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,013評論 3 325
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一吮成、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧辜梳,春花似錦粱甫、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,664評論 0 22
  • 一樁弒父案茶宵,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至宗挥,卻和暖如春乌庶,著一層夾襖步出監(jiān)牢的瞬間叶摄,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 32,818評論 1 269
  • 情欲美人皮
    我被黑心中介騙來泰國打工安拟, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人宵喂。 一個月前我還...
    沈念sama閱讀 47,711評論 2 368
  • 代替公主和親
    正文 我出身青樓糠赦,卻偏偏與公主長得像,于是被迫代替她去往敵國和親锅棕。 傳聞我的和親對象是個殘疾皇子拙泽,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,601評論 2 353

推薦閱讀更多精彩內(nèi)容