这是一个创建于 2924 天前的主题,其中的信息可能已经有所发展或是发生改变。
看到这篇文章: http://blog.csdn.net/wueryan/article/details/50533974
如果这个中间人攻击方法可行,初步看上去微信客户端是没有校验服务器端的证书的?现在还存在这个问题吗?
 |
1
whileFalse 2018 年 1 月 23 日
被攻击的设备肯定是安了自签名根证书。楼主不必担心。
|
 |
2
heiher OP @whileFalse 你确定微信客户端一直会做 CA 校验吗?
|
|
3
whileFalse 2018 年 1 月 23 日
@heiher 基本的 https 协议就会校验服务端证书是否被系统信任啊。
只是客户端还可以指定不使用设备的根证书信任,而是使用客户端内置的服务端证书指纹。 看起来微信没有使用内置指纹,而是简单的使用系统提供的证书。而系统被植入了自签名根证书,所以可以中间人攻击,就这么简单啊。 |
|
4
heiher OP 微信好像不是用的标准的 HTTPS 吧,听说好像是 HTTP + MMTLS (这货是 TLS 的变种?)。
|
|
5
heiher OP 我自己也抓包看了一下,奇怪的是在一个 TCP 流中,即有密文(或压缩吧)数据,也有明文数据。这就很不解了。。。
|
|
6
whileFalse 2018 年 1 月 23 日
@heiher http 头部一点点数据是明文没错。
|
 |
7
est 2018 年 1 月 23 日
来来来,LZ 告诉大家一下客户端如何做服务器端整数校验?
|
|
8
heiher OP @whileFalse 不像是头部,就上面链接中提到的 uin 参数都可以看到。
|
|
9
heiher OP @est 方法 @whileFalse 已经解释了吧
|
 |
16
tSQghkfhTtQt9mtd 2018 年 1 月 23 日 via Android
@heiher OSCP
|
|
17
tSQghkfhTtQt9mtd 2018 年 1 月 23 日 via Android
@liwanglin12 typo 了,OCSP😂
|
|
19
heiher OP @liwanglin12 明白了,实际上还是需要在线获取实时吊销数据的吧。
|
 |
21
naomhan 2018 年 1 月 23 日
现在微信爬虫很多都是这样的
 |
 |
22
bkmi 2018 年 1 月 23 日 via Android
听风就是雨,客户端校验的事,总是有办法破解,做的成本高,收益小,还不如不做
|
Select Language