NSURLSession请求SSL服务器+ MITM攻击

时间:2016-09-19 07:56:56

标签: objective-c xcode security ssl https

我正在使用NSURLSession和后端的apache服务器来提高OS X应用程序请求之间的安全性。

似乎大多数(免费)提供商似乎只允许为域名而不是IP生成证书。如果我使用域名上的有效证书设置SSL,则可以拦截和重新路由客户端对此域名的请求,例如使用hosts文件来欺骗我的应用程序?

正常工作流程示例:

  1. App使用NSURLSession
    2. https://example.com发出请求
  2. example.com发送加密回复。
  3. App正常使用该响应。

    4. 恶意用户操纵时的工作流程:

    1. 用户更改本地计算机上的主机文件以将example.com指向 本地IP。
    2. 本地IP具有有效的SSL证书,但不是 必然是同一个。
    3. App向https://example.com发出请求 使用NSURLSession。
    4. App不知道example.com请求 被操纵并发送到本地服务器,并处理响应 正常。

      5. 我的担忧有效吗?是否可以操纵对SSL服务器的请求来欺骗我的应用程序?有没有API可以捕获这样的东西,确保被操纵的请求会失败,所以应用程序只信任我的真实服务器?

      感谢您的经验,建议和意见。

0 个答案:

没有答案
相关问题
最新问题