This topic created in 3986 days ago, the information mentioned may be changed or developed.
不知道其他跟我一样使用ocserv(anyconnect)的同学有没有这样一个疑惑
在移动端anyconnect没办法保存密码,每次都需要手工输入
而且用户名密码还要分两次提示输入
研究了一下认证过程,目前写了一个小的hack:
第一:hack认证表单,让用户名密码在一次提示中输入,并能正常认证使用
第二:这是重点!anyconnect移动端是支持anyconnect这个scheme唤起并且传参,预填充用户名密码
那么,我么可以把这个唤起的URL放到其他地方,例如说一个可以保存密码的,带有鉴权的web页面上。而且这个东西也可以把鉴权引出来做些别的东西,例如一次性密码什么的。
由于mitm 所以存在内存拷贝次数加倍的问题。gist中只是展示了思路,后面再完善。
在移动端anyconnect没办法保存密码,每次都需要手工输入
而且用户名密码还要分两次提示输入
研究了一下认证过程,目前写了一个小的hack:
第一:hack认证表单,让用户名密码在一次提示中输入,并能正常认证使用
第二:这是重点!anyconnect移动端是支持anyconnect这个scheme唤起并且传参,预填充用户名密码
那么,我么可以把这个唤起的URL放到其他地方,例如说一个可以保存密码的,带有鉴权的web页面上。而且这个东西也可以把鉴权引出来做些别的东西,例如一次性密码什么的。
由于mitm 所以存在内存拷贝次数加倍的问题。gist中只是展示了思路,后面再完善。
6 replies • 2015-06-03 17:33:08 +08:00
 |
1
Leafove May 31, 2015
要不用输入密码直接换成证书验证就可以了
|
 |
6
bao3 Jun 3, 2015
这个hack就不要浪费时间了,直接换成CertAuth方式,不需要radius。另外,android需要强制锁屏密码的问题,其实是你倒入证书的姿势不对或者apk不对。客户端倒入p12证书,android系统不会要求你设置PIN或者密码的。
|
Select Language