1. 项目概述当“信任”成为一道墙在移动互联网的世界里数据安全传输的基石是TLS传输层安全协议。我们每天使用的App其与服务器之间的通信绝大多数都建立在这条加密通道之上。TLS证书钉扎就是这个安全体系中的一道“加固锁”。它的核心思想很简单客户端比如你的手机App不再无条件信任操作系统或浏览器内置的根证书列表而是预先“记住”它所连接的服务器的特定证书或公钥。这样一来即使攻击者通过某种手段比如在你的手机上安装了恶意根证书试图进行中间人攻击App也会因为证书不匹配而拒绝连接从而保护数据不被窃听或篡改。听起来很美好对吧这就像你去一家常去的咖啡馆只认那位固定的、你熟悉的咖啡师而不是任何穿着制服的人。然而在移动端混合开发Hybrid App或某些特殊场景下尤其是大量使用WebView或JavaScript引擎如React Native、Cordova的环境中这道“加固锁”有时会成为我们开发和调试的“拦路虎”。比如你需要对App内的H5页面进行抓包分析网络请求或者安全研究员需要对App进行安全评估又或者在某些内部测试环境下使用了自签名证书。这时“绕过”证书钉扎就成了一个必须面对的技术话题。本文将从一名移动安全开发者的视角深入拆解TLS证书钉扎的实现原理并重点探讨在移动端JavaScript环境下有哪些思路和方法可以绕过这道防线。请注意本文讨论的技术知识仅用于合法的安全研究、开发调试和授权测试任何用于非法目的的行为都是不被允许的。2. TLS证书钉扎的实现原理深度解析要理解如何绕过必须先透彻理解它是如何建立起来的。证书钉扎并非一个单一的技术而是一套策略和实现方式。2.1 钉扎的对象公钥还是证书钉扎的核心是选择“信任的锚点”。通常有两种选择证书钉扎直接钉扎整个终端实体证书Leaf Certificate。这是最简单直接的方式App内置了服务器证书的完整副本或指纹如SHA-256哈希。但缺点也很明显证书有有效期到期后必须更新App否则所有用户都无法连接。公钥钉扎钉扎证书中的公钥Public Key。这是更推荐的方式。因为即使服务器更换了证书比如续期只要新证书是由同一个密钥对生成的其公钥就不会变钉扎依然有效。这提供了更好的灵活性。公钥可以从证书的SPKISubject Public Key Info字段提取并计算其哈希值进行存储。在实际实现中无论是Android的Network Security Configuration还是iOS的NSAppTransportSecurity与URLSession的delegate方法其本质都是对证书链的验证逻辑进行了增强在系统默认验证通过后再进行一次自定义的比对。2.2 实现层级与机制钉扎可以在不同网络栈层级实现其强度和复杂度各不相同2.2.1 操作系统/框架层最坚固这是最彻底、最安全的实现方式通常由App原生代码Objective-C/Swift, Java/Kotlin实现。Android可以通过Network Security Configuration文件network_security_config.xml声明式地配置证书钉扎也可以在代码中通过自定义TrustManager和X509TrustManager接口在checkServerTrusted方法中实现自定义验证逻辑比对证书或公钥哈希。iOS / macOS主要通过NSURLSession或URLSession的URLSession:didReceiveChallenge:completionHandler:委托方法在NSURLAuthenticationChallenge中获取服务器证书链并与本地存储的信任锚点进行比对。注意这一层的钉扎作用于整个App的所有网络连接除非特别排除包括其中WebView发出的请求。绕过这一层的难度最大。2.2.2 库/框架层一些网络库内置了证书钉扎功能方便开发者集成。例如OkHttp (Android)提供了便捷的CertificatePinner类可以直接配置公钥哈希。Alamofire (iOS)可以通过ServerTrustPolicy来配置证书或公钥钉扎。curl通过CURLOPT_PINNEDPUBLICKEY选项支持公钥钉扎。这些库的钉扎最终也是通过调用底层的系统API来实现的但提供了更友好的接口。2.2.3 应用层协议少数应用层协议自身支持类似钉扎的机制。例如HTTP Public Key Pinning (HPKP) 是一个HTTP头允许网站告诉浏览器“在未来一段时间内只接受使用这些公钥的证书”。但由于HPKP配置错误可能导致网站不可用即“自杀式”钉扎且管理复杂现已被主流浏览器废弃。在移动端原生App中较少直接使用。2.3 钉扎的验证时机与流程一个典型的钉扎验证发生在TLS握手期间客户端发起TLS连接请求。服务器返回其证书链。客户端操作系统或网络库首先执行标准验证证书是否过期、是否由可信CA签发、主机名是否匹配等。标准验证通过后钉扎逻辑启动提取服务器证书或其中间CA证书根据配置的公钥计算其哈希值。将计算出的哈希值与App内置或预设的信任哈希值列表进行比对。如果匹配连接建立如果不匹配立即终止连接并抛出异常如SSLHandshakeException,NSURLErrorServerCertificateUntrusted。关键在于钉扎是验证链上的最后一环也是附加的一环。它不替代标准验证而是在其基础上增加了一道自定义的检查。3. 移动端JavaScript环境的特殊性为什么在JavaScript环境下讨论绕过证书钉扎是个特别的话题因为JS的运行环境存在显著的“分层”和“隔离”。3.1 运行时的隔离性在典型的混合开发App如Cordova、Ionic、React Native早期版本或纯WebView加载的H5页面中JavaScript代码运行在一个相对隔离的沙箱环境中。WebView/JavaScript Core这是JS的执行引擎。它本身不具备直接处理底层TLS连接的能力。所有网络请求无论是通过XMLHttpRequest、Fetch API还是WebSocket最终都是由宿主即App提供的网络模块在Android上是WebView底层调用的OkHttp或系统网络栈在iOS上是NSURLSession来执行的。关键点证书钉扎的逻辑通常实现在原生网络层即上述2.2.1或2.2.2节。这意味着从JavaScript层发起的请求其TLS验证包括钉扎完全由下层的原生代码控制JS代码本身对此过程是透明且无法直接干预的。3.2 开发与调试的冲突正是这种隔离性带来了矛盾安全需求App为了安全在原生层实施了严格的证书钉扎。开发/调试需求开发者或测试人员可能需要使用Fiddler、Charles等抓包工具来分析JS代码发出的网络请求。这些工具的工作原理是充当中间人MITM需要向客户端App出示一个由抓包工具根证书签发的证书。这个证书显然不在App的钉扎信任列表里导致连接失败。因此所谓的“绕过”在JS环境下本质上不是去修改JS代码本身而是去影响或禁用其下层原生网络层的钉扎验证逻辑。4. 绕过证书钉扎的常见思路与实操绕过钉扎是一个与App具体实现紧密相关的技术活动。以下思路按难度和普遍性排序。4.1 思路一从源头入手——修改或重打包App这是最直接但也最“重”的方法适用于你有App的源代码或能对其进行逆向修改的场景。4.1.1 针对源代码适用于开发阶段如果你是开发者只需要在调试版本中禁用或修改钉扎逻辑即可。Android修改network_security_config.xml将钉扎配置移除或改为pin-set包含抓包工具的证书公钥哈希。或者在代码中将自定义TrustManager的逻辑注释掉或使其在调试模式下总是返回true。iOS在AppDelegate或对应的网络请求管理类中通过编译宏如#if DEBUG来条件化地跳过钉扎验证代码。4.1.2 针对已编译的App逆向工程在没有源码的情况下需要对二进制文件进行逆向分析和修改。Android使用apktool等工具反编译APK得到smali汇编代码。定位证书验证的关键位置。可以搜索字符串如“pin”、“sha256”、“PublicKey”、“checkServerTrusted”等。修改smali代码让验证函数直接返回成功。例如找到checkServerTrusted方法将其实现修改为空的return-void。重新打包并签名APK。iOS从IPA文件中提取二进制可执行文件。使用Hopper Disassembler、IDA Pro或Ghidra进行反汇编。寻找与证书验证相关的函数符号如[NSURLSessionDelegate URLSession:didReceiveChallenge:completionHandler:]、SecTrustEvaluate、SSLSetSessionOption等。使用二进制补丁工具如insert_dylib配合Frida或直接修改汇编指令来绕过验证逻辑。例如可以将关键跳转指令如判断证书是否匹配的BNE改为永不跳转B或始终跳转B AL。重签名IPA并安装。实操心得逆向修改需要扎实的汇编和系统知识且每个App的实现都可能不同没有通用脚本。对于加固过的App还需要先脱壳难度更大。这通常是安全研究员的领域。4.2 思路二运行时注入——Hook原生函数这是目前最主流、最高效的动态绕过方法无需修改原始App文件通过注入代码在App运行时内存中修改其行为。主要工具是Frida。4.2.1 Frida 工作原理Frida是一个动态插桩工具包。它通过将一个小型运行时frida-server或frida-gadget注入到目标进程然后使用JavaScript脚本或Python等来Hook挂钩该进程中的原生函数C/C/Objective-C/Java并改变其返回值或参数。4.2.2 Hook Android Java 层Android的钉扎逻辑大多实现在Java层。以下是一个示例Frida脚本用于Hook常见的钉扎点Java.perform(function() { // 示例1: Hook OkHttp 的 CertificatePinner var CertificatePinner Java.use(okhttp3.CertificatePinner); CertificatePinner.check.$overload(java.lang.String, [Ljava.security.cert.Certificate;).implementation function(p0, p1) { console.log([] Bypassing OkHttp CertificatePinner for host: p0); // 什么都不做直接放过相当于禁用了检查 // 也可以在这里打印证书信息用于分析 for (var i 0; i p1.length; i) { console.log( Cert[ i ]: p1[i].toString()); } }; // 示例2: Hook 自定义的 X509TrustManager // 首先需要找到具体的类名可以通过枚举或搜索得到 // var MyTrustManager Java.use(com.example.app.MyCustomTrustManager); // MyTrustManager.checkServerTrusted.implementation function(chain, authType) { // console.log([] Bypassing custom TrustManager); // return; // 直接返回不抛异常 // }; // 示例3: 更暴力的Hook 所有 X509TrustManager (可能影响其他验证) var X509TrustManager Java.use(javax.net.ssl.X509TrustManager); var methods X509TrustManager.class.getDeclaredMethods(); methods.forEach(function(method) { if (method.getName().indexOf(checkServerTrusted) ! -1) { console.log([] Hooking checkServerTrusted in: method.getDeclaringClass().getName()); // 这里需要根据具体方法签名进行Hook较为复杂通常更推荐针对特定类 } }); });使用命令frida -U -f com.example.app -l bypass_pin.js来启动App并注入脚本。4.2.3 Hook iOS Objective-C / Swift 层iOS的钉扎通常在NSURLSessionDelegate或URLSessionDelegate中。// Frida JavaScript for iOS if (ObjC.available) { // Hook NSURLSessionDelegate 的 didReceiveChallenge 方法 var hook ObjC.classes.NSURLSessionDelegate[- URLSession:didReceiveChallenge:completionHandler:]; if (hook) { Interceptor.attach(hook.implementation, { onEnter: function(args) { // args[0] is self, args[1] is _cmd, args[2] is session, args[3] is challenge, args[4] is completionHandler var challenge new ObjC.Object(args[3]); var completionHandler new ObjC.Object(args[4]); console.log([] Intercepted TLS challenge: challenge.protectionSpace().host()); // 关键直接调用 completionHandler告诉系统使用默认处理方式并信任此证书。 // NSURLSessionAuthChallengeUseCredential 表示使用提供的凭据 // NSURLSessionAuthChallengePerformDefaultHandling 表示执行默认处理这里我们选择这个来“绕过”自定义逻辑 var NSURLSessionAuthChallengePerformDefaultHandling 1; // 或者直接信任服务器证书更激进 // var cred ObjC.classes.NSURLCredential.credentialForTrust_(challenge.protectionSpace().serverTrust()); // completionHandler(NSURLSessionAuthChallengeUseCredential, cred); completionHandler(NSURLSessionAuthChallengePerformDefaultHandling, null); // 阻止原方法执行 this.returnValue null; // 对于 void 方法 } }); } }4.2.4 使用现成工具社区有一些集成了Frida脚本的工具可以简化操作Objection基于Frida的运行时移动安全评估工具。安装后连接到目标App执行命令android sslpinning disable或ios sslpinning disable它会尝试自动Hook常见的钉扎库如OkHttp, TrustKit, Alamofire等。MobSF移动安全框架其动态分析部分也集成了Frida和证书钉扎绕过脚本。注意事项Hook技术依赖于函数签名和内存布局的稳定性。如果App使用了混淆、加固或自定义了非常独特的验证逻辑自动Hook脚本可能会失败需要手动分析并编写定制脚本。此外一些高安全级别的App会检测Frida等调试工具的存在。4.3 思路三环境与配置修改这类方法不直接攻击App本身而是改变其运行环境使其“认为”当前是可信环境。4.3.1 安装系统级根证书针对抓包这是抓包工具Charles, Fiddler的常规操作。它们会生成一个根证书并指导你将其安装到手机的“受信任的凭据”中。但是仅此一步对于启用了证书钉扎的App是无效的因为钉扎逻辑不信任系统CA列表。此步骤是后续所有抓包操作的必要前提但非充分条件。4.3.2 使用虚拟环境或模拟器在某些模拟器或虚拟环境中可以更轻松地控制系统行为。Android 模拟器可以修改系统镜像直接将自己的根证书添加到系统分区/system/etc/security/cacerts/目录下并设置正确的哈希文件名和权限。这样抓包工具的证书就成了“系统内置”CA但同样这只能绕过标准验证对于严格的公钥钉扎仍然无效除非钉扎的恰好是这个CA的公钥几乎不可能。越狱/root后的设备拥有最高权限可以做更多事情比如直接内存Patch、修改系统库等其思路与逆向修改和运行时注入结合。4.3.3 代理设置与流量重定向有时钉扎会检查证书的某些扩展属性或主机名。通过复杂的代理规则将特定域名的流量重定向到一个自己控制的、安装了有效证书非抓包工具证书的服务器上该服务器再作为正向代理访问真实目标。这种方法成本高仅适用于特定研究场景。4.4 思路四针对JavaScript层本身的“绕过”严格来说这不算绕过TLS钉扎而是避免触发它。既然JS发出的请求最终走原生网络层那么如果能让请求不经过原生网络层呢4.4.1 使用原生桥接Native Bridge在React Native、Flutter等框架中JS可以通过桥接Bridge调用原生模块。可以编写一个自定义的原生网络模块在这个模块中不实现证书钉扎然后让JS代码通过这个桥接模块来发送需要抓包的请求。这样这些特定请求就绕过了App中原有的、带钉扎的网络层。4.4.2 本地服务器代理在App内或同一设备上启动一个小的本地HTTP代理服务器例如用node.js写一个。将JS代码中的请求目标URL改为指向这个本地代理如http://127.0.0.1:8080/proxy?url...。本地代理服务器接收到请求后使用不验证证书的HTTP客户端如设置rejectUnauthorized: false去访问真实目标然后将结果返回给JS。这样TLS连接发生在本地代理服务器与远程服务器之间而本地代理服务器禁用了证书验证自然也就绕过了钉扎。JS与本地代理之间是HTTP连接没有TLS。实操心得这种方法在技术上可行但需要修改JS代码的请求地址并且引入了一个额外的网络跳转增加了复杂性和延迟。适用于深度调试或安全测试中针对特定请求的分析。5. 实践案例使用Frida绕过一个混合App的钉扎假设我们有一个Android混合Appcom.example.hybridapp它使用OkHttp进行网络请求并启用了证书钉扎。我们想用Charles抓取其内部WebView中JavaScript发出的请求。步骤1环境准备准备一台已Root的Android手机或模拟器。在电脑上安装Frida和frida-toolspip install frida-tools。在手机上下载并运行对应架构的frida-server。安装Charles并在手机上将Charles的根证书安装为系统CA需要Root后移动到/system/etc/security/cacerts/。步骤2分析App使用frida-ps -U确认App进程名。使用objection进行初步探索objection -g com.example.hybridapp explore。在objection控制台中尝试运行android sslpinning disable。如果它成功识别并Hook了OkHttp那么恭喜你可能已经绕过了。如果objection失败我们需要手动写脚本。使用frida -U -f com.example.hybridapp附加到App然后在交互式命令行中使用Java.enumerateLoadedClasses()来搜索包含“OkHttp”、“CertificatePinner”、“TrustManager”等关键词的类。步骤3编写并注入定制脚本假设我们找到了钉扎类com.example.hybridapp.network.SecurityManager。编写Frida脚本bypass.js:Java.perform(function() { console.log([*] Starting certificate pinning bypass...); // 尝试Hook我们找到的自定义安全类 var SecurityManager; try { SecurityManager Java.use(com.example.hybridapp.network.SecurityManager); console.log([] Found SecurityManager class); } catch (e) { console.log([-] Custom SecurityManager not found, trying common libraries...); } if (SecurityManager) { // 假设这个类有一个 verifyCertificate 方法 SecurityManager.verifyCertificate.implementation function(cert) { console.log([] Bypassing custom verifyCertificate); return true; // 总是返回验证成功 }; } // 同时也Hook OkHttp的CertificatePinner作为兜底 var OkHttpPinner; try { OkHttpPinner Java.use(okhttp3.CertificatePinner); console.log([] Found OkHttp CertificatePinner); OkHttpPinner.check.overload(java.lang.String, java.util.List).implementation function(hostname, pins) { console.log([] Bypassing OkHttp pinner for: hostname); // 原方法会抛异常我们什么都不做让它静默通过 }; } catch (e) { console.log([-] OkHttp CertificatePinner not found); } // 最后Hook最底层的X509TrustManager的checkServerTrusted作为终极保障 var X509TrustManager Java.use(javax.net.ssl.X509TrustManager); var X509ExtendedTrustManager Java.use(javax.net.ssl.X509ExtendedTrustManager); [X509TrustManager, X509ExtendedTrustManager].forEach(function(clazz) { var methods clazz.class.getDeclaredMethods(); for (var i 0; i methods.length; i) { var method methods[i]; if (method.getName().indexOf(checkServerTrusted) ! -1) { console.log([*] Potentially hooking checkServerTrusted in: clazz.$className); // 注意这里需要根据具体参数列表进行精确Hook否则可能崩溃 // 这是一个高风险操作仅用于研究。通常更安全的做法是Hook具体的实现类。 // 此处省略具体实现建议优先使用上面针对具体类的方法。 } } }); });步骤4运行与验证启动Charles设置好代理。在终端运行frida -U -f com.example.hybridapp -l bypass.js --no-pauseApp启动脚本注入。观察Frida控制台输出确认Hook成功。操作App触发网络请求。此时在Charles中应该能看到之前被拦截的HTTPS流量现在能够被解密和查看了。6. 防御与检测如何让绕过变得更难作为开发者了解如何绕过的目的是为了更好地防御。以下是一些增强证书钉扎安全性的建议多级钉扎不要只钉扎叶子证书。可以同时钉扎中间CA证书和叶子证书的公钥增加攻击者需要伪造的环节。备用钉扎在Network Security Configuration或代码中设置备用公钥哈希当主密钥泄露或需要轮换时可以平滑过渡。代码混淆与加固对实现钉扎逻辑的类名、方法名进行混淆增加逆向分析和Hook的难度。使用代码加固技术保护核心验证逻辑。运行时检测检测调试器检查是否被Frida、Xposed等框架附加。可以检测/proc/self/maps中是否存在frida-agent、libxposed等特征库或检测frida、xposed等关键词的进程。检测证书验证绕过在App中实现一个“心跳”或“自检”机制定期向一个已知的、带钉扎的测试端点发起请求。如果请求成功但证书却不是预期的可以通过回调函数获取证书信息进行二次校验则可能意味着钉扎逻辑被Hook了此时可以触发安全响应如记录日志、限制功能、退出App等。将钉扎逻辑移至Native层使用C/C实现核心的证书比对逻辑并编译为原生库.so/.a。Hook Native层的难度通常高于Java/Objective-C层且可以结合反调试技术。使用硬件安全模块对于安全性要求极高的App如金融可以考虑使用TEE可信执行环境或SE安全元件来存储和比对公钥哈希这几乎无法从软件层面绕过。7. 法律与道德边界最后必须再次强调技术使用的边界。TLS证书钉扎是一项重要的安全功能旨在保护用户数据。本文所述的技术细节和绕过方法其唯一的合法用途包括对自己开发的应用程序进行安全测试和调试。在获得明确授权的前提下对第三方应用进行安全评估如漏洞众测、企业内安全审计。学术研究。任何在未授权的情况下对他人应用进行逆向、修改或绕过安全机制的行为都可能违反《计算机软件保护条例》等相关法律法规以及应用本身的服务条款构成侵权甚至犯罪。作为技术人员我们应坚守职业道德将知识用于建设而非破坏。在移动安全这个领域知攻更需知防理解攻击手段的最终目的是为了构建出更坚固的防御体系。