คลังความรู้สู่นักทดสอบเจาะระบบ
Free Knowledge-Sharing Initiative
ภายหลัง Android Version 6 ขึ้นไป ผู้ทดสอบจะติดปัญหาไม่สามารถการดักข้อมูล HTTP request และ Response ผ่านโปรแกรม Burp suites วิธีแก้เบื้องต้นคือการ Bypass Certificate Pinning ก็สามารถที่จะดักข้อมูลได้อย่างปกติ
บทความนี้กล่าวถึงวิธีการ Bypass การ login ที่ใช้ Touch ID ของโปรแกรมที่มีการเขียนอย่างไม่รัดกุม ทำให้ผู้ใช้งานสามารถใช้งาน นิ้วที่ไม่ได้ลงทะเบียน หรือลายนิ้วมืออะไรก็ได้เข้าถึงโปรแกรม
ตัวอย่างเกิดจาก โปรแกรมที่ได้ Cracked จากเครื่อง ipad เพื่อดึงออกมากนำไปติดตั้งยังเครื่อง iOS เครื่องอื่น โดยใช้โปรแกรม (Clutch) จากตัวอย่างบทความดังต่อไปนี้
บทนำ (Overview) การ bypass certificate pining บนเค…
บทนำ (Overview) การทำ SSL pining นั้นจะทำให้ appli…