Pinagem do SSL

O SSL Pinning (ou Certificate Pinning) é uma técnica de segurança implementada para assegurar que uma aplicação estabeleça conexões seguras somente com servidores previamente autorizados, através da verificação rígida do certificado digital ou da chave pública utilizada durante a negociação SSL/TLS.

A pinagem do SSL atua como um mecanismo de validação adicional, garantindo que somente o certificado original ou sua chave pública pré configurada seja aceita independentemente das configurações de confiança do sistema operacional, inibindo a captura e modificação das requisições ao backend.

Atenção para que o SSL funcione corretamente é necessário verificar as APIs do aplicativo, listá-las e configura-las com seu devido certificado.

. Public Key Pinning (type="publicKey"): - Este é o método recomendado e padrão.

Fixe o hash da Informação da Chave Pública do Assunto (SPKI) do certificado.
Para gerar o pin: openssl s_client -servername example.com -connect example.com:443 < /dev/null | openssl x509 -pubkey -noout | openssl pkey -pubin -outform der | Copy openssl dgst -sha256 -binary | openssl enc -base64

Para configuração Public Key Pinning:

<key>ssl-pinning</key>
<true.>
    <dict>
        <key>*.example.comr</key>
        <string>4d6qzRu9zOECb90Uez27xWltNsj0e1Md7GkYYkVoZWmM>
    </dict>
<key>ssl-pinning-fallback<key>
<true/>

AnteriorDetecção de Swizzling PróximoDetecção Auto-Click Screen (Bots)

Atualizado há 1 mês