SSL Unpinning (bypass) Yöntemleri

Android 1.0 ın çıktığın 2007 yılından beri Android’in ve mobil köprünü altından çok sular aktı geçti.Bugün bir çok uygulama Certificate authoriy (CA) kontrolü yapıyor. Biz pentesterlar ise man-in-the-middle (MITM) ile bu trafiği kesmek ve izlemek istiyoruz. Bu yazımda sizinle Android’de SSL sertifikasını bypass etmenin 4 farklı yolunu paylaşacağım, bunlar; •Güvenilen Sertifika deposuna özel bir CA […]

Let’s Encrypt Nedir?

Let’s Encrypt projesi mozilla,cisco,facebook,chrome,ovh gibi büyük firmaların desteklediği 2014 Ekim ayında duydulan bedava X.509 sertifika sahibi olabileceğiniz hizmettir. Yazılım linux ve windows web sunucularında kolayca ssl sertifikası almanıza imkan sağlarken Bu hizmet 2015 Şubat ayında Plesk‘e plesk user voice üzerinden yapmış olduğum öneriyle birlikte 2016’nın şubat ayında plesk’e bir eklenti olarak gelmiştir.Eklenti sayesinde tek bir […]

Apache SSL Bağlantı 502 Bad Gateway hatası

Eğer ssl üzerinden yani https:// bağlantı kurarken hata alıyorsanız bu hata nginx açıkken 502 Bad Gateway, nginx kapalı yani isteklere Apache cevap veriyorken connection refused hatası olabilir. Plesk panel ile çalışıyorsak bu sorunun nereden kaynakladığını bulmak için fpm handler’ını ve Apache’yi yada nginx i devreye alarak test edebiliriz ben apache yi devre dışı bırakıp nginx i tek […]

Android SSL Pinning Çalışmam

Uzun süredir ilgimi çeken bir konudur ssl pinning aslında. Bu merakım bir android uygulamasını Charles yazılımı ile Man-in-the-middle atağı yaparken karşılaştığım sorunla başladı. Charles’in CA sertifikasını telefona yüklediğim halde uygulamanın yolladığı istekleri kesemiyordum. Öncelikle ssl unpinning üzerine araştırma yaptım ve araya girebilmek için farklı yöntemler keşfettim fakat bu yazımda Curl request yollarken ssl pinning kullanan bir […]