들어가기 앞서 안드로이드 피닝(Pinning) 개요 및 Root CA 검증 우회 방법 들어가기 앞서 라이브러리 모듈 검사를 통한 Frida 탐지 방안과 우회 기법 들어가기 앞서 통신 포트 검사를 통한 Frida 탐지 방안과 우회 기법 들어가기 앞서 Frida 실행 시 생성되는 파일 검사를 통 naro-security.tistory.com 고정 인증서 방식의 피닝(Pinning) 우회 방법 들어가기 앞서 안드로이드 피닝(Pinning) 개요 및 Root CA 검증 우회 방법 들어가기 앞서 라이브러리 모듈 검사를 통한 Frida 탐지 방안과 우회 기법 들어가기 앞서 통신 포트 검사를 통한 Frida 탐지 방 naro-security.tistory.com 이전 "안드로이드 피닝(Pinning) 개요 및 Roo..

개요 모바일 디바이스에서 Burp Suite를 사용하기 위해서는 Proxy 서버 인증서를 디바이스에 설치해야 하며, 인증서를 설치하지 않고 네트워크 통신 시 높은 확률로 SSL/TLS 관련 오류가 발생하게 된다. PC 단에서는 인증서를 설치하지 않고 Burp Suite를 사용해도 큰 문제가 없지만 모바일 앱의 경우는 다르다. 일반적으로 앱에서는 API 서버와 통신을 시도할 때 okhttp3 모듈을 사용한다. 해당 모듈의 경우 내부 코드에서 자체적으로 인증서 체인 검증을 진행하며 이때, 검증 체인 키 값을 디바이스에 설치된 Root CA에서 가지고 온다. 그리고 인증 키가 존재하지 않는다면 통신에 실패하게 된다. 따라서, Burp Suite를 이용할 때 해당 Proxy 서버의 인증서(PostSwigger)..