[车联网安全自学篇] Android安全之绕过WebView SSL Pinning抓HTTPS数据

已于 2022-09-06 13:56:55 修改
阅读量739 收藏
点赞数
分类专栏: 车联网安全自学篇之Android安全 文章标签: 渗透测试 网络安全 信息安全
于 2022-05-16 09:57:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ananas_Orangey/article/details/124793802
版权
本文介绍了如何在Android中绕过WebView的SSL Pinning,以便在渗透测试和网络安全场景下抓取HTTPS数据。讨论了WebView忽略证书验证的方法,包括Okhttp3和WebView的处理方式,并详细解释了从Android 7.0开始的网络配置变化。此外,还提供了在不同Android版本上解决抓包问题的策略,如借助Magisk等工具。最后,分享了绕过WebView证书文件和公钥校验的技术细节。
摘要由CSDN通过智能技术生成

也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大

少走了弯路,也就错过了风景,无论如何,感谢经历

:样本APK下载地址,请见文章末尾

0x01 前言

Android 中的证书固定,Android WebView 中证书锁定,在Android 7.0 Nougat (SDK 24)开始才有的,在 Android 7.0 Nougat (SDK 24)之前,无论开发人员使用什么库,都无法真正管理 Webview 上的固定,因为Android 7.0 Nougat (SDK 24)的网络安全配置允许应用程序定义自己的规则集。

为了不让攻击者抓到数据包货执行中间人攻击,开发人员使用了WebView SSLPinning,如果我们想成功地对固定的证书域执行中间人攻击,就必须获得实际证书或能够生成有效证书(来自受信任的证书颁发机构)

1.1 WebView 忽略证书验证

1.1.1 Okhttp3忽略HTTPS证书校验


                

                
                
        

        

        

    

  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
            

        

    

      

        

            

              
                
                  橙留香Park
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          

                

                        订阅专栏
                









                



	

		

			

				
					
Android webviewhttps下实现ssl的双向认证

				
			

			

				

					zx的博客
				

				

					12-02
					
					4465
					
				

			

		

		

			
				
文章的重点是实现SSL证书双向认证,包含:
a.生成客户端与服务端证书。
b.搭建支持Https的服务器。
c.实现webview的双向证书认证。

			
		

	



                

              
                



	

		

			

				
					
Android webview数据获取 webview

				
			

			

				

					spinchao的博客
				

				

					03-10
					
					7853
					
				

			

		

		

			
				
总结下 Androidwebview数据获取、取。
先说总结的情况

方法一:给webview  setWebViewClient,然后重写shouldInterceptRequest,获取请求参数,自己发起请求,返回WebResourceResponse。
方法二:WebViewClient 的onPageFinished 方法里面注入js,来获取html

如果是自己应用很简单,如果...

			
		

	



                


  
              

                


	

		

			

				
					
Android抓包指南②: DevTools+WebViewDebugHook调试第三方应用的WebView

				
			

			

				

					软件架构农
				

				

					05-24
					
					9604
					
				

			

		

		

			
				
DevTools
《Android抓包指南(一):Android7.0及以上Fiddler不到HTTP/HTTPS包怎么办?》
上一章,我们使用Fiddler对应用HTTP/HTTPS包,并且解决了Android7.0及以上的不到包的问题。
本章,我们借助DevTools,同样可以实现对第三方应用内嵌的WebView与服务端的HTTP/HTTPS通信进行抓包分析,还可以调试页面Javascr...

			
		

	





	

		

			

				
					
android 浏览器抓包工具,使用无头浏览器的Android Web

				
			

			

				

					weixin_39535125的博客
				

				

					05-26
					
					127
					
				

			

		

		

			
				
小编典典好吧,两周后,我承认失败了,目前正在使用一种对我来说非常有用的解决方法。问题:将HTMLUnit移植到Android太困难了(或者至少以我的专业水平)。我确信这是一个值得的项目(对于有经验的Java程序员而言,并没有那么耗时)。我给HTMLUnit的家伙们发了电子邮件,他们评论说他们没有考虑端口或将要付出什么努力,但是建议任何想要开始这样的项目的人都应该向他们的邮件列表发送一条消息,以吸引...

			
		

	



		

			
		



	

		

			

				
					
Android WebView

				
			

			

				

					bulote
				

				

					02-01
					
					85
					
				

			

		

		

			
				
1.WebView
http://www.eoeandroid.com/forum.php?mod=viewthread&tid=98669
希望点击连接是由自己处理,而不是新开系统browser中响应该链接,要给WebView添加一个事件监听对象,并重写shouldOverviewUrlLoading方法

2.WebView删除缓存
http://www.eoeandroid...

			
		

	





	

		

			

				
					
H5抓包——Android 使用电脑浏览器 DevTools调试WebView

					
最新发布

				
			

			

				

					麦小洛
				

				

					03-27
					
					1321
					
				

			

		

		

			
				
1、电脑通过数据线连接手机,开启USB调试(打开手机开发者选项)
2、打开待调试的H5 App,进入H5界面
3、打开电脑浏览器,调试界面入口
如果用edge浏览器 访问:edge://inspect/#devices

			
		

	





	

		

			

				
					
Android-SSL-Pinning-WebViews:一个简单的演示应用程序,演示了Android WebViews中的证书固定和schemedomain白名单

				
			

			

				

					05-13
				

			

		

		

			
				
Android WebView中的证书固定和方案/域白名单 一个简单的演示应用程序,演示:  Android WebViews中的证书固定 Android WebView中的方案和域白名单 使用OkHttp在网络级别实现固定和白名单。 然后,通过扩展...

			
		

	





	

		

			

				
					
Android-SSl.zip_WebView_android_sentencevpr_sslpinning_todayrxi

				
			

			

				

					09-15
				

			

		

		

			
				
总的来说,SSL Pinning是增强`WebView`安全性的重要手段,能够有效防御中间人攻击,确保用户数据的隐私和安全。在Android应用开发中,尤其是在处理敏感信息时,SSL Pinning的实施是必不可少的。通过学习和使用这个...

			
		

	





	

		

			

				
					
Android APP之WebView校验SSL证书的方法

				
			

			

				

					08-29
				

			

		

		

			
				
Android APP之WebView校验SSL证书的方法是Android应用程序中一个非常重要的安全机制,能够确保数据安全性和机密性。开发者需要严谨地处理onReceivedSslError方法,并对服务器证书进行强校验,以确保数据安全传输...

			
		

	





	

		

			

				
					
AndroidWebView中拦截所有请求并替换URL(支持post)

				
			

			

				

					05-18
				

			

		

		

			
				
接到这样一个需求,需要在 WebView 的所有网络请求中,在请求的url中,加上一个sign=xxxx 的标志位,同时添加手机本地的数据比如 sessionToken=sd54f5sd4ffsdf45454564  、deviceId=863970025919887

文章链接:http://blog.csdn.net/kpioneer123/article/details/51438204

			
		

	





	

		

			

				
					
一站式页面调试、抓包工具远程调试任何手机浏览器页面,任何手机移动端webview(如:微信,HybirdApp等)支持HTTP/HTTPS,无需USB连接设备.zip

				
			

			

				

					10-11
				

			

		

		

			
				
一站式页面调试、抓包工具。远程调试任何手机浏览器页面,任何手机移动端webview(如:微信,HybirdApp等)。支持HTTP/HTTPS,无需USB连接设备。.zip,微信调试,各种WebView样式调试、手机浏览器的页面真机调试。便捷的远程调试手机页面、抓包工具,支持:HTTP/HTTPS,无需USB连接设备。

			
		

	





	

		

			

				
					
强制打开app的webview调试模式、fillderapp的https数据包,用于通过证书验证

				
			

			

				

					05-11
				

			

		

		

			
				
xpoesd5.0_downcc.apk和  VirtualXposed_0.18.0.apk  可以强制打开app的webview调试模式,也可以用于fillderapp的https数据包,用于通过证书验证

			
		

	





	

		

			

				
					
Android离线webview调试工具,开发H5混合应用必备

				
			

			

				

					05-14
				

			

		

		

			
				
调试webview(类似Chrome://inspect的功能)国内404,大家都懂的,经过我各种折腾制作完成,不会出现空白页面,无需科学那啥,不限机型,Hybrid App等H5混合应用开发必备,

			
		

	





	

		

			

				
					
AndroidPinning:一个用于在Android上固定证书的独立库项目

				
			

			

				

					05-15
				

			

		

		

			
				
Android固定
AndroidPinning是一个独立的Android库项目,可简化来自Android应用程序的SSL连接的证书固定,以最大程度地减少对证书颁发机构的依赖。
 CA签名对于通用的网络通信工具是必需的:诸如Web浏览器之类的东西,它们可以连接到任意网络端点,并且对这些端点的SSL证书应具有什么样的功能并不了解。
 大多数移动应用程序不是通用通信工具。 相反,它们通常直接连接到应用程序的作者控制或可以提前预测的狭窄后端服务集。
 这为应用程序开发人员提供了规避证书颁发机构固有的安全性问题的机会。 最好的方法是,通过使用自己的脱机签名证书对自己的终结点证书进行签名,将CA证书完全丢出窗口,然后将其随应用程序一起分发。 有关无CA技术的示例,请参。
 但是,有时这是不可能的,并且出于某种原因,您需要继续使用CA证书。 例如,也许API端点与Web浏览器的端点共享。
 在这种情况

			
		

	





	

		

			

				
					
[车联网安全自学] Android安全之APK逆向入门介绍

					
热门推荐

				
			

			

				

					橙留香Park的博客
				

				

					09-13
					
					1万+
					
				

			

		

		

			
				
[车联网安全自学] Android安全之APK逆向入门介绍;2021年注定是一个不平凡的一年,这一年每个人都需要付出更多的努力,一定要脚踏实地,默默努力奋斗。

			
		

	





	

		

			

				
					
再也不怕原生开发甩锅给前端了,教你抓包webview,调试h5!!

				
			

			

				

					CherryCola_zjl的博客
				

				

					10-26
					
					5628
					
				

			

		

		

			
				
随着移动端的发展,越来越多的开发 app内嵌webview 。很多时候本地浏览器没问题,放在app里却问题频出,为了准确的把锅丢给app开发,我们就要掌握 手机抓包的 技法了!!!

首先保证手机与电脑在一个局域网,链接统一无线网。
下载Fiddler Everywhere  抓包工具。注册账号或者使用google账号登录,这步略过
想要完成抓包需要下载电脑以及手机两个证书。先下载电脑证书,勾选 捕获 https请求,要不然只能拦截http请求。然后点击 信任根证书。




在设置里 ,勾选允许远程终端链

			
		

	





	

		

			

				
					
安卓 https 证书校验和绕过

				
			

			

				

					AzulSystems的博客
				

				

					03-04
					
					2504
					
				

			

		

		

			
				
吕元江。

			
		

	





	

		

			

				
					
Android WebView加载网页与数据完全指南

				
			

			

				

					
				

			

		

		

			
				
"本文将详细介绍如何在Android应用中使用原生组件WebView来加载和展示网页及数据。通过学习,开发者可以了解到如何实现在自己的Activity中嵌入网页浏览功能,而无需依赖外部浏览器应用。"  在Android开发中,WebView...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
橙留香Park

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值