安卓 https 证书校验和绕过

最新推荐文章于 2024-04-13 09:54:30 发布
最新推荐文章于 2024-04-13 09:54:30 发布
阅读量2.3k 收藏 2
点赞数
文章标签: 网络安全 安全 密码学 c# ddos Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AzulSystems/article/details/129332816
版权

吕元江,2019年1月加入去哪儿网,现负责app的分析和设备指纹反爬事项,对app脱壳,java/nativec层加解密算法分析还原有丰富经验。

1. 背景

在分析 app 协议时经常碰到由于证书校验而导致无法正常抓取 https 协议的情况,本文主要介绍证书校验检测的时机和原理,以及如何绕过检测和绕过的原理。安全防范方面,开发者又该如何应对以及如何检测,同破解方进行对抗。

1.1 在安卓上实现 https 方式的方法有哪些

A)Apache 的 HttpClient 类

B)HttpsURLConnection 类

C)后续将以第三方库 OkHttp 为例(或其他第三方库 Xutils,HttpClientAndroidLib)

1.2 各自的证书校验方式?

1.根据 app 内置证书 KeyStore 生成 TrustManager 验证

2.自定义 SSLSocketFactory(org.apache.http.conn.ssl.SSLSocketFactory)实现 TrustManager 验证策略(httpClient)

3.自定义SSLSocketFactory(javax.net.ssl.SSLSocketFactory)实现TrustManager 验证策略(HttpsURLConnection,OkHttp3)

4.自定义的 HostnameVerifier 和 X509TrustManager 实现验证

5.第三方库中的验证,如 OkHttp3 中的 CertificatePinner(证书锁定)

6.WebView 加载 Https 页面时证书校验出错,停止加载

下图为目前比较常见的实现 https 类的各自证书验证的方式:

下图为 JSSE 的参考手册提供的与描述证书验证相关的一些类之间的关系示意图。

最低0.47元/天 解锁文章
gool奇米
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android APP之WebView如何校验SSL证书
06-24 755
请参考以下代码,原理是:如果webview报告SSL错误,程序将会对服务器证书进行强校验,如果服务器传入证书的指纹(sha256)与记录值一致,说明webview验证过程存在缺陷(如:手机日期错误、根证书被删除 等),忽略SSL错误;SSL错误的处理方式十分关键,如果处理不当,可能导致中间人攻击,黑客窃听数据,进而引发安全事故。如果APP需要访问多张证书,请在代码中加入多个证书指纹数值。在测试代码时,请将手机日期设置在证书有效期之前,判断WebView是否能正常访问HTTPS站点。
Android SSL证书验证原理
08-25
Android SSL验证原理
android ssl证书验证
11-15
android ssl证书验证
探索 Android SSL TrustKiller:安全守护你的移动网络
最新发布
gitblog_00026的博客
04-13 270
探索 Android SSL TrustKiller:安全守护你的移动网络 项目地址:https://gitcode.com/iSECPartners/Android-SSL-TrustKiller Android-SSL-TrustKiller 是一个由 iSEC Partners 开发的开源项目,它的主要目标是增强 Android 设备上的 HTTPS 安全性,防止中间人攻击。本文将对该项目进...
Https 工具类
Gblfy_Blog
05-13 1128
package com.gblfy.qywx.utils; import java.io.ByteArrayOutputStream; import java.io.DataOutputStream; import java.io.IOException; import java.io.InputStream; import java.net.URL; import java.security.KeyManagementException; import java.security.NoSuchAlgori
APP抓包-代理转发绕过反代理+Xposed绕过证书校验
xiaoheizi的博客
07-23 3649
而这里的牛牛不止设置了反代理还设置了证书校验,一闪而过的三个数据包就是在校验证书。而proxifier工具的转发机制获取的是网络接口出口数据,相当于是在网络接口设代理。这个时候就可以在夜神打开牛牛开始抓包了,打开牛牛可以看到proxifier有夜神流量通过。关闭代理之后牛牛就正常了,可恶的牛牛啊,这样我没办法抓包啊,怎么办啊。模拟器开启代理,burp开启监听。打开牛牛app,牛牛不在报错。牛牛app检测的是系统代理,也就是在模拟器或手机上设置的代理。再在浏览器下载两个模块,在夜神安装,用来屏蔽证书校验
android端WebSocket实现双向认证
qq_20119499的博客
12-02 1131
前言 最近有一个需求是在android端实现webSocket的双向认证,一开始用到了Java-WebSocket的框架来实现,但是有个问题是在高版本的Android手机上运行是正常,但是在Android6.0的魅族和OPPO手机上却验证失败了,报错CertPathValidatorException: Trust anchor for certification path not found,应该就是证书问题了,网上找了一些方法,但是依然无效 public static X...
android HTTPS双向认证
Froeverlove的博客
12-08 1870
近期项目中遇到需要对HTTPS进行双向认证,整理下可以实现的两种方式。
android Https的使用及双向验证证书
he先森的博客
05-08 284
转载:android Https的使用及双向验证证书
Android https证书校验、防抓包
conerconced的博客
10-12 603
android https证书校验,防抓包
Android合规问题引起的https证书校验
我的专栏
10-12 1430
记录一下Android中接口请求遇到的https证书相关的问题
Android webview手动校验https证书(by 星空武哥)
08-29
有些时候由于Android系统的bug或者其他的原因,导致我们的webview不能验证通过我们的https证书,最明显的例子就是华为手机mate7升级到Android7.0后,手机有些网站打不开了,而更新了webview的补丁后就没问题了
httpclient 绕开HTTPS证书校验
07-05
httplient向https发送请求会因为证书校验而报错,该工具类提供绕开HTTPS证书校验方法,以实现访问https网站的功能
https证书校验方法
12-09
https证书校验方法
Android okhttp3.0忽略https证书的方法
08-28
Android OkHttp 3.0 忽略 HTTPS 证书的方法 一、HTTPS 证书简介 HTTPS 证书是用于确保网络通信安全的一种数字证书。它可以验证服务器的身份,确保客户端和服务器之间的通信安全。 HTTPS 证书可以分为两种:一种是...
Java如何跳过https的ssl证书验证详解
08-25
2、可以忽略服务器证书校验(将hostname校验和CA证书校验同时关闭)。网上最常用的,就是利用jdk生成keyStore文件,该方法忽略服务器证书校验的方法。 四、JSSE缺省的证书信任管理器类 在针对http进行升级时,在...
Android—指纹识别系统的原理与使用
子曰小玖的博客
05-28 4652
指纹识别是什么? 提到指纹识别我们就要先弄清楚什么事指纹,指纹为何能够做到区别性。 指纹,由于其具有终身不变性、唯一性和方便性,已几乎成为生物特征识别的代名词。指纹是指人的手指末端正面皮肤上凸凹不平产生的纹线。纹线有规律的排列形成不同的纹型。纹线的起点、终点、结合点和分叉点,称为指纹的细节特征点(minutiae)。 指纹识别即指通过比较不同指纹的细节特征点来进行鉴别。指纹识别技术涉及图像处理、模式识别、计算机视觉、数学形态学、小波分析等众多学科。由于每个人的指纹不同,就是同一人的十指之间,指纹也..
WebService绕过SSL证书验证
shi100511512的专栏
02-01 598
/ httpClient对象执行post请求,并返回响应参数对象。* 创建ConnectionManager,添加Connection配置信息。log.info("回传入参:"+soapXml);* @return HttpClient 支持https。* 在调用SSL之前需要重写验证方法,取消检测SSL。log.info("回传地址:"+url);// 创建httpPost远程连接实例。// 从响应对象中获取响应内容。// 创建httpClient实例。
https 证书校验流程
06-08
HTTPS证书校验流程一般如下: 1. 客户端向服务器发送HTTPS请求。 2. 服务器返回证书,包含公钥。 3. 客户端验证证书的有效性,包括以下步骤: a. 验证证书是否过期。 b. 验证证书是否被吊销。 c. 验证证书是否由可信的证书颁发机构(CA)颁发。 d. 验证证书中的域名是否与请求的域名一致。 4. 如果证书验证通过,则客户端使用证书中的公钥加密一个随机数,并发送给服务器。 5. 服务器使用私钥解密客户端发送过来的随机数,并使用该随机数生成对称加密密钥。 6. 客户端和服务器使用该对称加密密钥进行加密通信,保证通信的机密性和完整性。 需要注意的是,如果证书验证未通过,则客户端会提示用户存在安全风险,建议用户不要继续访问该网站。同时,为了保证证书的安全性,服务器需要定期更新证书,并使用安全的方式保护证书的私钥。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值