[车联网安全自学篇] Android安全之绕过WebView SSL Pinning抓HTTPS数据

已于 2022-09-06 13:56:55 修改
阅读量724 收藏
点赞数
分类专栏: 车联网安全自学篇之Android安全 文章标签: 渗透测试 网络安全 信息安全
于 2022-05-16 09:57:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ananas_Orangey/article/details/124793802
版权

也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大

少走了弯路,也就错过了风景,无论如何,感谢经历

:样本APK下载地址,请见文章末尾

0x01 前言

Android 中的证书固定,Android WebView 中证书锁定,在Android 7.0 Nougat (SDK 24)开始才有的,在 Android 7.0 Nougat (SDK 24)之前,无论开发人员使用什么库,都无法真正管理 Webview 上的固定,因为Android 7.0 Nougat (SDK 24)的网络安全配置允许应用程序定义自己的规则集。

为了不让攻击者抓到数据包货执行中间人攻击,开发人员使用了WebView SSLPinning,如果我们想成功地对固定的证书域执行中间人攻击,就必须获得实际证书或能够生成有效证书(来自受信任的证书颁发机构)

1.1 WebView 忽略证书验证

1.1.1 Okhttp3忽略HTTPS证书校验

import java.security.
了解本专栏 订阅专栏 解锁全文
橙留香Park
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
webviewSSl证书问题
Z_Try的博客
09-14 509
webviewssl证书问题显示空白页
Android webview数据获取 webview
spinchao的博客
03-10 7618
总结下 Androidwebview数据获取、取。 先说总结的情况 方法一:给webview setWebViewClient,然后重写shouldInterceptRequest,获取请求参数,自己发起请求,返回WebResourceResponse。 方法二:WebViewClient 的onPageFinished 方法里面注入js,来获取html 如果是自己应用很简单,如果...
Android HttpsWebView(2)
最新发布
2401_84123357的博客
04-28 1038
简历首选内推方式,速度快,效率高啊!然后可以在拉钩,boss,脉脉,大街上看看。简历上写道熟悉什么技术就一定要去熟悉它,不然被问到不会很尴尬!做过什么项目,即使项目体量不大,但也一定要熟悉实现原理!不是你负责的部分,也可以看看同事是怎么实现的,换你来做你会怎么做?做过什么,会什么是广度问题,取决于项目内容。但做过什么,达到怎样一个境界,这是深度问题,和个人学习能力和解决问题的态度有关了。大公司看深度,小公司看广度。大公司面试你会的,小公司面试他们用到的你会不会,也就是岗位匹配度。面试过程一定要有礼貌!
Android中使用Webview SSL 自签名CA证书安全校验方案
jsxin0816的博客
11-18 2698
Android中使用Webview SSL 自签名证书校验
H5包——Android 使用电脑浏览器 DevTools调试WebView
麦小洛
03-27 915
1、电脑通过数据线连接手机,开启USB调试(打开手机开发者选项) 2、打开待调试的H5 App,进入H5界面 3、打开电脑浏览器,调试界面入口 如果用edge浏览器 访问:edge://inspect/#devices
android 浏览器包工具,使用无头浏览器的Android Web
weixin_30546683的博客
05-26 531
小编典典好吧,两周后,我承认失败了,目前正在使用一种对我来说非常有用的解决方法。问题:将HTMLUnit移植到Android太困难了(或者至少以我的专业水平)。我确信这是一个值得的项目(对于有经验的Java程序员而言,并没有那么耗时)。我给HTMLUnit的家伙们发了电子邮件,他们评论说他们没有考虑端口或将要付出什么努力,但是建议任何想要开始这样的项目的人都应该向他们的邮件列表发送一条消息,以吸引...
Android-SSl.zip_WebView_android_sentencevpr_sslpinning_todayrxi
09-15
总的来说,SSL Pinning是增强`WebView`安全性的重要手段,能够有效防御中间人攻击,确保用户数据的隐私和安全。在Android应用开发中,尤其是在处理敏感信息时,SSL Pinning的实施是必不可少的。通过学习和使用这个...
Android APP之WebView校验SSL证书的方法
08-29
Android APP之WebView校验SSL证书的方法是Android应用程序中一个非常重要的安全机制,能够确保数据安全性和机密性。开发者需要严谨地处理onReceivedSslError方法,并对服务器证书进行强校验,以确保数据安全传输...
Android-SSL-Pinning-WebViews:一个简单的演示应用程序,演示了Android WebViews中的证书固定和schemedomain白名单
05-13
Android WebView中的证书固定和方案/域白名单 一个简单的演示应用程序,演示: Android WebViews中的证书固定 Android WebView中的方案和域白名单 使用OkHttp在网络级别实现固定和白名单。 然后,通过扩展...
Android Webview上的ssl warning的处理方式详解及实例
01-05
Android Webview上的ssl warning的处理方式详解 前言: 因为最近遇到google pay上汇报的安全漏洞问题,需要处理ssl warning. 安全提醒 您的应用中 WebViewClient.onReceivedSslError 处理程序的实施方式很不安全。...
Android_WebView安全攻防指南2020.pdf
08-11
以下是一份详细的Android WebView安全攻防指南,涵盖了WebView的攻击面、配置与使用、URL校验以及安全防御措施。 1. **WebView攻击面** - **JavaScriptInterface接口**:在Android 4.4之前,系统中的...
Android利用Fiddler进行网络数据
qq944639839的博客
01-11 576
可以发现Fiddler可以以各种格式查看网络请求返回的数据,包括Header, TextView(文字), ImageView(图片), HexView(十六进制),WebView(网页形式), Auth(Proxy-Authenticate Header), Caching(Header cache), Cookies, Raw(原数据格式), JSON(json格式), XML(xml格式)很是方便。第一次会提示是否信任fiddler证书及安全提醒,选择yes,之后也可以在系统的证书管理中进行管理。
安卓10 charlesHttps包 和 配置
weixin_52283613的博客
02-15 3737
前言 可以关注我哟,一起学习,主页有更多练习例子 如果哪个练习我没有写清楚,可以留言我会补充 如果有加密的网站可以留言发给我,一起学习共享学习路程 如侵权,联系我删除 此文仅用于学习交流,请勿于商用,否则后果自负 最近一直学习安卓逆向的东西,所以有一个月没发文 一、先说说遇到的坑 安卓10和之前的安卓7以下的都不一样,我装好证书,和JustTrustMe打开抖音还是不到包 小米手机浏览器...
AndroidWebView完美支持https双向认证(SSL)
qie7892683的专栏
07-20 5852
转自:http://blog.csdn.net/kpioneer123/article/details/51491739  这是@happyzhang0502   关于webview https的建议:  最近做一个安全级别比较高的项目,对方要求使用HTTPS双向认证来访问web网页。双向认证在android5.0以上很好解决,但是在Android5.0以下,webviewcl
安卓https的小技巧
weixin_44038097的博客
04-20 904
在我们测试APP的时候,经常会有https数据的情况,但是安卓和ios不同,ios可以通过安装证书来进行取,但是安卓的特殊性,往往是无法取的,因此,大多数的开发流程,为了应对这种情况,会在测试包中兼容两种协议https和http,方便测试 但是最近我获得了一个小技巧,来源于我的大佬教导的,我们可以通过adb命令来完成,https数据, 1,首先准备一根数据线,连接手机设备,输入命令adb devices 出现这个设备号的时候,就证明已经连接成功了 2,输入命令adb -s 设备号 lo
android怎样对webview加载的内容进行拦截修改
lcwoooo的博客
07-05 7754
需求原因,由于App要用webview调用一个html5。但是网页上面老是有一些烦人的小广告,可是html5网页不受我控制,所以我就想能不能把它进行拦截或者修改。 当然有好的方法可以交流交流 大家知道网页上面挂的一般都是广告联盟的广告,一般就是大家看到的一张诱惑图片加跳转。所以拦截前我们要知道我们要过滤网站的那些内容。下面以百度首页为列。 我要把百度的
Android 拦截WebView请求,并加入或修改参数(GET)
小白新人
11-01 4924
今天遇到一个需求,H5内部调用登录请求,然后手机端给他拼接用户的ID及其他消息 这个WebView提供了方法shouldInterceptRequest 下面代码,只是简单demo,请求方式是get mWebView.setWebViewClient(new WebViewClient() { @Nullable @Override public WebResour...
android webview https ssl
10-29
Android提供了WebView控件来加载和显示Web页面。在使用WebView加载HTTPS网页时,SSL(即Secure Sockets Layer)是必需的。 SSL是一种用于在Internet上保护数据传输安全的加密协议。它确保在浏览器和服务器之间传输的数据是加密的,以防止第三方篡改或窃听数据。 要在Android WebView中使用SSL,需要采取以下步骤: 1. 配置WebView设置:在代码中,我们可以通过设置WebView的WebSettings对象来启用JavaScript和SSL,以便加载HTTPS网页。可以使用以下代码进行设置: ``` WebView webView = findViewById(R.id.webview); WebSettings webSettings = webView.getSettings(); webSettings.setJavaScriptEnabled(true); webSettings.setDomStorageEnabled(true); webSettings.setAppCacheEnabled(true); webSettings.setCacheMode(WebSettings.LOAD_DEFAULT); ``` 2. 导入SSL证书:有时候,我们需要导入服务器的SSL证书,以便WebView可以信任该服务器。可以使用以下代码导入SSL证书: ``` InputStream inputStream = getAssets().open("ssl_cert.cer"); CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509"); X509Certificate x509Certificate = (X509Certificate) certificateFactory.generateCertificate(inputStream); inputStream.close(); KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType()); keyStore.load(null, null); keyStore.setCertificateEntry("ssl_cert", x509Certificate); String defaultAlgorithm = KeyManagerFactory.getDefaultAlgorithm(); KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(defaultAlgorithm); keyManagerFactory.init(keyStore, null); TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(defaultAlgorithm); trustManagerFactory.init(keyStore); SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, trustManagerFactory.getTrustManagers(), null); SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory(); webSettings.setJavaScriptCanOpenWindowsAutomatically(true); webSettings.setUseWideViewPort(true); webSettings.setBuiltInZoomControls(true); webSettings.setDisplayZoomControls(false); webSettings.setSupportZoom(true); webSettings.setAllowFileAccess(true); webSettings.setAllowContentAccess(true); webView.setWebViewClient(new WebViewClient()); webView.getSettings().setJavaScriptEnabled(true); webView.loadUrl("https://www.example.com"); ``` 通过以上步骤,我们就可以在Android WebView中加载HTTPS安全网页并保持通信的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

橙留香Park

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值