[车联网安全自学篇] Android安全之绕过直连、HOST校验、系统证书校验、代理检测、双向认证抓HTTPS数据

已于 2022-09-06 13:58:08 修改
阅读量1.3k 收藏 1
点赞数
分类专栏: 车联网安全自学篇之Android安全 文章标签: 信息安全 渗透测试 网络安全
于 2022-05-13 17:24:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ananas_Orangey/article/details/124755818
版权

也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大

少走了弯路,也就错过了风景,无论如何,感谢经历

0x01 HTTP 直连

:样本APK下载地址,请见文章末尾

httpstest APP 中使用的https访问组件是okhttp3,直接访问http协议的url 即可。不需要进行任何多余的配置,只需要配置好代理,http流量会被代理软件抓到

/*
* http协议
*/
button_http_connect.setOnClickListener(new View.OnClickListener() {
   
    @Override
了解本专栏 订阅专栏 解锁全文
橙留香Park
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
2021年10月 【腾讯】联网数据安全体系建设指南.pdf
10-25
此外,联网数据安全体系建设还需要符合相关的行业标准和规范,例如GB/T 22239-2008《信息安全管理系统要求》、GB/Z 28821-2012《信息安全技术网络安全等级保护定级规范》等。 2. 防泄露:联网数据安全体系建设...
基于LTE的联网无线通信技术 安全证书管理系统技术要求 - v1.1.1
04-13
基于LTE的联网无线通信技术 安全证书管理系统技术要求 - v1.1.1
ssl证书验证绕过
最新发布
qq_63980959的博客
02-26 1219
在实际环境中,可能会遇到不到包的情况,有可能是因为app有双向ssl证书验证机制,导致无法包,那么便需要一些操作来绕过该验证机制。
安卓https的小技巧
weixin_44038097的博客
04-20 896
在我们测试APP的时候,经常会有https数据的情况,但是安卓和ios不同,ios可以通过安装证书来进行取,但是安卓的特殊性,往往是无法取的,因此,大多数的开发流程,为了应对这种情况,会在测试包中兼容两种协议https和http,方便测试 但是最近我获得了一个小技巧,来源于我的大佬教导的,我们可以通过adb命令来完成,https数据, 1,首先准备一根数据线,连接手机设备,输入命令adb devices 出现这个设备号的时候,就证明已经连接成功了 2,输入命令adb -s 设备号 lo
AndroidHttps跳过证书验证、Https使用证书、HttpClient、
ff的博客
01-11 8719
在公司用习惯了Http请求,突然要用到Https请求,因为突然换了我太不习惯,在第三方网络请求发现无用时,我开始使用原生的网络请求,突然发现完全不会Https请求。结果一段时间的总结与使用,我把这期间的使用心得发布到csdn,为了是总结知识点和广大程序猿方便。 一、跳过验证: 既然叫跳过证书验证,那么我们在使用网络请求之前,就应该使用一定的手段来跳过验证。 1、首先得重写org.apache
安全02-后台JAVA增加Host校验防范HTTP主机头攻击-
windows_apple的博客
12-01 4286
什么是 HTTP 主机标头? 从 HTTP/1.1 开始,HTTP Host 标头是强制性的请求标头。它指定客户端要访问的域名。例如,当用户访问 时https://xxx.com,他们的浏览器将编写一个包含 Host 标头的请求,如下所示: GET /web-security HTTP/1.1 Host: xxx.com HTTP Host 标头的目的是帮助识别客户端想要与之通信的后端组件。 HTTP Host 头攻击漏洞 使用HTTP代理工具,可以篡改HTTP报文头部中HOST字段时,该值可被注入恶意代
SSL双向认证绕过HTTPS证书导出
qq_46723500的博客
02-03 1670
​ 利用r0ysue大佬的r0Capture工具进行Hook包自动导出了App内的p12证书
java毕业设计-安全联网数字取证系统源码.zip
11-26
java毕业设计——安全联网数字取证系统源码.zip已获导师指导并通过的高分项目。java毕业设计——安全联网数字取证系统源码.zip已获导师指导并通过的高分项目。java毕业设计——安全联网数字取证系统源码.zip已...
2021联网身份认证安全信任试点技术指南(1.0).pdf
09-24
联网身份认证安全信任试点技术指南(1.0)旨在加快推进联网网络安全保障能力建设,构建联网身份认证安全信任体系,推动商用密码应用,保障蜂窝联网(Cellular Based V2X,C-V2X)通信安全
基于属性加密和联盟区块链的安全联网数字取证系统源码Java本科毕业设计
01-16
基于属性加密和联盟区块链的安全联网数字取证系统源码Java本科毕业设计
Android包攻防技术(代理检测与反代理)
键盘的起始页
05-17 7932
一.检测代理 1. 原理 APP在发起网络请求前会检测系统是否设置了代理,如果发现有代理,就不发起请求。以下是一段APP检测系统是否有代理的实例代码: public static boolean isWifiProxy(Context context) { final boolean IS_ICS_OR_LATER = Build.VERSION.SDK_INT >= Build.VERSION_CODES.ICE_CREAM_SANDWICH; String proxyAdd
移动端专项测试必备神器 — adb
myh919的博客
05-06 277
01、Android调试桥 (adb),Android调试桥 (adb) 是一种功能多样的命令行工具,可让您与设备进行通信。adb命令可用于执行各种设备操作(例如安装和调试应用),并提供对Unix shell(可用来在设备上运行各种命令)的访问权限。
WEB安全漏洞之Host头攻击漏洞
Agonie_25的博客
05-17 3317
总览漏洞说明解决方法 漏洞说明 开发人员一般依赖于HTTP Host header来方便的获得网站域名。例如,在php里用_SERVER[“HTTP_HOST”],在java里使用hreq.getHeader(“HOST”)等。但是这个header是不可信赖的,在请求传入后端的途中可能会被截获修改。如果后端没有对host header值进行处理(检验等),就有可能造成恶意代码的传入,或者己方用户信...
Android之判断设备是否开启了代理
verynewbeee的博客
01-19 997
Android判断设备是否开启了代理
Android安全https安全HostnameVerifier
Juruo@Security
10-05 3345
Android安全https安全HostnameVerifier
移动端测试必备技能: adb命令和
nhb687095的博客
07-13 1382
adb是一个C/S架构的命令行工具,由三部分组成,ADB就是连接手机和电脑通信的桥梁,只要这个桥梁 建立起来了,那么你就可以通过电脑来控制你的手机了。Server端:运行在pc端中,客户端到 Android 设备上 adb 后台进程的连接,负责管理client和daemon 进行通信。应用场景:自动化测试中需要知道app的包名和activity,通过命令获取使用步骤:开启被测应用,输入命令。是指对移动应用进行的测试,即实体的特性满足需求的程度,进行测试前需要搭建测试环境。
突破iOS App双向认证
哆啦安全
09-23 2430
1.判断证书双向认证 通过正常途径包,burp Suite无任何数据包,第一反应可能是做了双向认证,尝试wireshark取也无果,然后尝试SSL Pinning防止中间人拦截攻击,然后开启了ssl-kill-switch2后发现该APP所有的响应包返回400 No required SSLcertificate was sent的报错信息。 该app接封装了客户端的证书,相比于单项认证,无非就是多了一个服务器端验证客户端证书的过程,而在以往的用代理工具,如:burp Suite这类工具,.
浅析APP代理检测对抗
include_voidmain的博客
07-18 3029
浅析APP代理检测对抗
APP渗透—绕过代理、反证书检测
剁椒鱼头没剁椒的博客
04-23 5699
在之前的文章都写到了,如何对APP应用进行包,但是所演示的APP都是一些未设置防护的,或者使用的包工具能够避免这种情况的,所以都正常显示,本章就是针对APP设定了反代理或者反证书验证机制进行绕过。在反代理这里我们只是介绍一下如果绕过代理,但是通常情况下APP不单单只有一个反代理机制,还会存在反证书机制,这里我们算是绕过了一个机制。由此也能推断出这个牛牛是反代理+反证书机制。
基于LTE的联网无线通信技术 安全证书管理系统技术要求(报批稿).pdf
07-10
V2X联网技术文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

橙留香Park

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值