SSL pinning 질문

안녕하세요. 보안프로젝트 김태영입니다.

문의주신 내용에 대해 확인해보니, "https://certs.cac.washington.edu/CAtest/" 를 요청하면 404 응답 패킷이 오면서 Connection refused가 됩니다. 해당 페이지는 "안드로이드 개발자 공식 사이트"에서도 사용되는 예제인데.. CAtest가 없어진거 같네요.

하지만, 실습에는 문제가 없으니 걱정안하셔도 됩니다. 

SSL Pinning 파트에서는 "SSL 통신에 관련한 패킷을 확인할 수 있는지"가 핵심이기 때문에 Burp Suite로 패킷이 잡히는지만 확인하시면 됩니다.

체크박스를 "체크"하거나 "체크 해제"한 상태로 패킷을 잡는다면,

"체크" 상태에서는 패킷이 안잡히고, "체크 해제" 상태에서는 패킷이 잡히는 것을 볼 수 있을 겁니다.

따라서 "체크" 상태에서 패킷을 잡게하려면 실습 강의와 같이 SSL Pinning을 우회하여 패킷을 잡을 수 있습니다.

감사합니다.