Android 证书检测问题

最新推荐文章于 2023-12-20 12:54:36 发布
VIP文章 最新推荐文章于 2023-12-20 12:54:36 发布
阅读量2.4k 收藏 1
点赞数 1
分类专栏: Android开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gaugamela/article/details/78428487
版权

为了避免中间人攻击,当终端进行Https访问时,会进行证书验证的工作。
证书验证的基本原理就是:
逐步验证整个证书链,直到找到一个可信的根证书。
如果找不到可信的根证书,就会抛出CertificateException。

有的时候出于一些目的,我们想自己定义证书验证的逻辑,
此时就需要参考一些套路了,其中最主要的就是创建自己的TrustManager。

既然要讲套路,那么就直接来demo了:

..................
private static int checkCertificate() {
    int rst = RESULT_SAFE;

    //需要进行Https连接
    HttpsURLConnection conn = null;
    try {
        //Https连接可以指定SSLSocketFactory
    SSLSocketFactory sf = null;
    try {
        //创建SSLContext
            SSLContext sc = SSLContext.getInstance("TLS");
            //指定我们自定义的TrustManager
            sc.init(null, createTrustManager(), null);

        sf = sc.getSocketFactory();
        } catch (Exception e) {
        .........
        }

        URL url = new URL(TEST_URL_HTTPS);
        //openConnection仅创建出HttpsURLImplConnection,没有进行实际的网络访问
        //还可以设置参数
        conn =
最低0.47元/天 解锁文章
ZhangJianIsAStark
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android代码-检测网络是否正常
08-06
虽然有各种教程帖均提及恢复“NetworkLocation.apk”等方式恢复所谓的GMS服务(Google Mobile Services)中的网络定位,但如果相关文件没有使用对应的platform证书签名,或者和rom中其它platform签名级别的apk签名不...
安卓APP渗透—HTTPS证书校验绕过
hackzkaq的博客
10-28 4371
前言: Android渗透过程中,会经常遇见https证书校验,不能抓取数据包。 就比如我手机无法Root,每次都要用到模拟器,但是有些App它会检查是否在模拟器中运行,从而闪退无法正常使用。于是,这篇文章诞生了。 基础学习: APP是HTTPS的服务提供方自己开发的客户端,开发者可以先将自己服务器的证书打包内置到自己的APP中,或者将证书签名内置到APP中,当客户端在请求服务器建立连接期间收到服务器证书后,先使用内置的证书信息校验一下服务器证书是否合法, 如果不合法,直接断开. 当APP是HTTPS时,单
Android App程序应用未校验签名证书——————《风险等级高》
拉莫帅的博客
12-20 1201
Android App程序如果未校验签名证书的风险你都知道吗?重新打包签名的应用,可能导致App被仿冒盗版,影响其合法收入,甚至可能被添加钓鱼代码、病毒代码、恶意代码,导致用户敏感信息泄露或者恶意攻击等等,本篇将教大家如何规避此类问题、以及最好的解决办法!
Android开发中的Https安全规范
caizehui的博客
01-11 1143
前言: 越来越多的Android应用为了android通信安全,将http通信改为Https通信连接,或单向验证或双向验证。 但是如果不按规范将TLS连接中对证书等进行安全校验,实际上和http通信没有任何差别,还是有很多的安全风险,如中间人攻击等。 一方面TLS版本要高,如TLS1.2、TLS1.3,因为旧版本的都已发现安全漏洞。另外,就是一些通用部分,如下为阿里Android开发手册部分提到的规范,可以进行参考。 从 2017 年 3 月 1 日起,只要新应用或应用更新采用的 HostnameVerif
Android Crash 监控方案
a136447572的专栏
10-20 1148
Crash 监控方案 1 java 1 UncaughtExceptionHandler package com.enjoy.crash2; import android.content.Context; import java.io.File; public class CrashReport { public static void init(Context context) { Context applicationContext = context.getApplicat
Android证书有效性验证方案
我的专栏
09-30 3033
SSL劫持攻击: 目前虽然很多Android APP使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息,攻击示意图如下:
android 应用安全
carson2440的专栏
12-28 689
Android端应用安全开发指南 一 数据存储 概述 移动应用经常需要在某些场景下(比如用户登录)处理和用户或业务相关的敏感数据,有时候为满足某些业务需求,需要把这些敏感数据存储在本地,如果不对这些数据进行适当处理,就有可能存在敏感信息泄漏的风险。 安全准则 A.敏感数据总是优先考虑存储在内部空间。 B.敏感数据无论是存储在内部还是外部空间均应经过加密后再存储,应避免直接明文存储。 C....
基于Android10的忽略HTTPS证书校验
小小小石头的专栏
03-31 8058
为什么要忽略证书校验 从Android 9 开始 APP默认访问的URL 必须是HTTPS协议的,虽然可以配置回支持HTTP,但这种做法不建议使用,已经0202年了,HTTPS早已经是主流。既然要使用HTTPS协议,就少不了CA证书,这个证书是收费的,也有些平台可以什么一年有效期的免费证书,但作为个人开发者,自己建个项目,开发用,完全没必要,我们使用JDK下的keytool生成 https证书。...
android 客户端强校验服务端证书,Android实现https网络通信之添加指定信任证书/信任所有证书...
weixin_36037280的博客
05-27 1363
Android客户端访问https网站,默认情况下,受证书信任限制,无法访问,可以有两种解决方法来实现:1、将要访问的https网站的ca证书添加到客户端信任证书列表中,此种方式为谷歌推荐,安全性高。2、将客户端设置为信任所有证书,也就是说不验证服务器证书,此种方式实现简单,但是安全性低,不推荐使用。直接上代码,分别实现两种方式的访问。1、客户端添加指定信任证书assets目录中放置ca.crt...
Android系统Root权限获取与检测
10-18
一个应用程序的进程就是一个安全的沙盒。它不能干扰 ...或者通过用户提示或者证书来禁止该权限。应用程序需要的那 些“permissions”是静态的在程序中声明,所以他们会在程序安 装时被知晓,并不会再改变。
IOS,Android SSL双向认证HTTPS方式请求及配置证书
12-19
。。。。。。。IOS,Android SSL双向认证HTTPS方式请求及配置证书
certificatetransparency:Android和Java的证书透明性
04-21
Android证书透明度 为了保护我们的应用免受中间人攻击,通常想到的第一件事就是证书固定。 但是,证书固定的问题很多。 首先,要确定一组可靠的密钥来锁定是很难的。 一旦做出决定,如果您的期望与现实不符,您的...
DetectTamper:Android中的篡改检测
05-03
侦测篡改 该应用程序的主要目的是解决本地库上的静态和动态篡改检测并验证C语言中的apk签名证书。有关更多详细信息,请参见我的博客
多图表实现员工满意度调查数据分析python
04-22
员工满意度是指员工对于工作环境、待遇、职业发展和组织管理等方面的满意程度。它是衡量员工对工作的整体感受和情绪状态的重要指标。
2020届软件工程本科毕业生毕业设计项目.zip
04-22
2020届软件工程本科毕业生毕业设计项目
基于stm32平衡小车
04-22
平衡小车 基于stm32 平衡小车 基于stm32 平衡小车 基于stm32
c语言火车票订票管理源码.rar
04-22
c语言火车票订票管理源码.rar
施耐德PLC例程源码四台水泵的轮换
04-22
施耐德PLC例程源码四台水泵的轮换提取方式是百度网盘分享地址
node-v16.13.2-linux-s390x.tar.xz
最新发布
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
android 检测是否分身应用
07-28
Android系统本身并不提供直接的方法来检测手机上是否存在分身应用。然而,我们可以运用一些技巧来判断手机上是否存在分身应用。 首先,我们可以通过检查手机上安装的应用程序列表来判断是否存在分身应用。但是这种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值