【漏洞修复】自定义实现的X509TrustManager子类中..

最新推荐文章于 2023-04-10 18:09:32 发布
最新推荐文章于 2023-04-10 18:09:32 发布
阅读量1w 收藏 16
点赞数 4
分类专栏: Android开发之旅 文章标签: android X509
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SCHOLAR_II/article/details/107616324
版权

漏洞说明

 /**
     * 覆盖java默认的证书验证
     */
    private static final TrustManager[] TRUSTALLCERTS = new TrustManager[]{
            new X509TrustManager() {
                public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                    return new java.security.cert.X509Certificate[]{};
                }

                @SuppressLint("TrustAllX509TrustManager")
                public void checkClientTrusted(X509Certificate[] chain, String authType) {
                }

                @SuppressLint("TrustAllX509TrustManager")
                public void checkServerTrusted(X509Certificate[] chain, String authType) {
                }
            }
    };

 try {
            SSLContext sc = SSLContext.getInstance("TLS");
            sc.init(null, TRUSTALLCERTS, new java.security.SecureRandom()); //配置自己的信任管理类(信任策略)
            SSLSocketFactory newFactory = sc.getSocketFactory();
            connection.setSSLSocketFactory(newFactory);
        } catch (Exception e) {
            e.printStackTrace();
        }

如上代码所示,自定义与使用了X509TrustManager子类,但又没有实现信任校验的逻辑时遇,对安全平台扫描APK时,会报如下风险

【漏洞】自定义实现的X509TrustManager子类中,未对服务器端证书做验证,默认接受任意服务端证书,会存在安全风险,可能会导致恶意程序利用中间人攻击绕过证书校验

【修复的建议通常的如下】

利用X509TrustManager子类中的checkServerTrusted函数,校验服务器端证书的合法性

PS:一般自定义信任管理器,通常是使用自签名或android不认可的证书颁发机构SSL证书的业务场景
使用这个方式最麻烦是公钥/证书放置在前端,以及公钥的同步等问题!!!

修复建议

个人的修复建议是
【前提条件】
1、你的SSL证书是由android认可的证书颁发机构或者该结构下属的机构颁发的证书(最关键)
2、使用的https的服务的请求与响应的数据安全性不是那么高(数据不敏感与私密),
3、又不保证服务器的证书是否不会被替换,
那么性价较高且简单明了的方案是

不要使用509TrustManager子类!
不要使用509TrustManager子类!
不要使用509TrustManager子类!
即使用默认的系统网络库默认的信任管理/校验方案,系统会使用证书链的信任管理策略

PS:

Android已经把将近150个CA根证书(数字证书认证机构认证过的证书)内置在我们手机中。这150多个证书被全世界信赖

TIPS分享

查看域名的证书的信息

利用chrome打开对应的域名,查看即可
在这里插入图片描述
证书详情
在这里插入图片描述

查看信息的信证CA根证书

设置->安全->信任的凭据
在这里插入图片描述

自定义X509TrustManage示例

说明 : 如下代码copy自 学会正确的使用 https,不要留下漏洞!!

public static SSLSocketFactory getSSLSocketFactory() throws Exception {
        
        final TrustManager[] trustAllCerts = new TrustManager[]{new X509TrustManager() {
            // 本地公钥信息,实现项目中在考虑该值的更新,否则服务证书一换,之前的端不会能正常工作了
            public static final String PUB_KEY = "3082010a0282010100d52ff5dd432b3a05113ec1a7065fa5a80308810e4e181cf14f7598c8d553cccb7d5111fdcdb55f6ee84fc92cd594adc1245a9c4cd41cbe407a919c5b4d4a37a012f8834df8cfe947c490464602fc05c18960374198336ba1c2e56d2e984bdfb8683610520e417a1a9a5053a10457355cf45878612f04bb134e3d670cf96c6e598fd0c693308fe3d084a0a91692bbd9722f05852f507d910b782db4ab13a92a7df814ee4304dccdad1b766bb671b6f8de578b7f27e76a2000d8d9e6b429d4fef8ffaa4e8037e167a2ce48752f1435f08923ed7e2dafef52ff30fef9ab66fdb556a82b257443ba30a93fda7a0af20418aa0b45403a2f829ea6e4b8ddbb9987f1bf0203010001";

            @Override
            public void checkClientTrusted(
                    java.security.cert.X509Certificate[] chain,
                    String authType) throws CertificateException {


            }

            
            @Override
            public void checkServerTrusted(
                    java.security.cert.X509Certificate[] chain,
                    String authType) throws CertificateException {
                if (chain == null) {
                    throw new IllegalArgumentException("checkServerTrusted:x509Certificate array isnull");
                }

                if (!(chain.length > 0)) {
                    throw new IllegalArgumentException("checkServerTrusted: X509Certificate is empty");
                }

                if (!(null != authType && authType.equalsIgnoreCase("RSA"))) {
                    throw new CertificateException("checkServerTrusted: AuthType is not RSA");
                }

                
                try {
                    TrustManagerFactory tmf = TrustManagerFactory.getInstance("X509");
                    tmf.init((KeyStore) null);
                    for (TrustManager trustManager : tmf.getTrustManagers()) {
                        ((X509TrustManager) trustManager).checkServerTrusted(chain, authType);
                    }
                } catch (Exception e) {
                    throw new CertificateException(e);
                }
                
                
                RSAPublicKey pubkey = (RSAPublicKey) chain[0].getPublicKey();

                String encoded = new BigInteger(1 , pubkey.getEncoded()).toString(16);
                
                final boolean expected = PUB_KEY.equalsIgnoreCase(encoded);

                if (!expected) {
                    throw new CertificateException("checkServerTrusted: Expected public key: "
                            + PUB_KEY + ", got public key:" + encoded);
                }

            }


            @Override
            public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                return new java.security.cert.X509Certificate[0];
            }
        }};

        
        final SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, trustAllCerts,
                new java.security.SecureRandom());
        
        return sslContext
                .getSocketFactory();
    }

相关文档

喜欢踢足球的老罗
关注
  • 4
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
微信java支付和登录api demo
11-23
这个是java 的 这个是java的 里面只是让你借鉴 不是上你直接使用的 不是让你直接使用的 不是让你直接使用的 需要你自己看看
X509TrustManager信任SSL证书
热门推荐
LI_AINY的博客
07-02 3万+
做个笔记 private Discovery getTrustDiscovery() throws KeyManagementException, NoSuchAlgorithmException, NoSuchProviderException, IOException { // 对用户提供的标识符执行发现 Discovery dd = new Discovery(); // ...
OkHttp Https 证书忽略
专注Android ,直到世界尽头
12-28 1263
1、实现X509TrustManager 接口。2、创建Client 客户端时使用Trust。
java使用https实现单向客户端认证服务端,x.509证书。
a62929367的博客
07-20 3321
java使用https实现单向客户端认证服务端,x.509证书。
android HTTPS未校验服务器证书漏洞修复
kyzycyey的专栏
04-10 1684
上述代码是重写了域名校验的逻辑,每个证书里携带的域名是不可更改的,如果证书是合法的证书签发机构签发的,并且域名是和你要请求的域名对的上的,基本上就能确认你访问就服务器地址就是要访问的服务器地址,这样才是安全的。上述代码就是重新了证书校验的逻辑,信任所有的证书,正确的逻辑是要校验证书是否是可信任的证书签发机构所认证的,如果不校验的话你虽然是用了https加密传输,只要你的客户端用户信任了其他的证书哪怕是非法的证书,一样能够请求通过,而这个证书的服务器就可以解密你的报文,拿到你的隐私信息了。
SsX509TrustManager
08-26
android 访问https时 发送请求前 SsX509TrustManager.allowAllSSL();
X509证书信任管理器类的实现及应用
legend_x的专栏
05-20 3172
X509证书信任管理器类的实现及应用   (2011-09-20 10:27:18) 转载▼ 标签:  杂谈   在JSSE,证书信任管理器类就是实现了接口X509TrustManager的类。我们可以自己实现该接口,让它信任我们指定的证书。   接口X509TrustManager有下述三个公有的方法需要我们实现
313、自定义实现的X509TrustManager类,安全漏洞
lanxuan1993的博客
09-02 1467
借鉴:https://blog.csdn.net/SCHOLAR_II/article/details/107616324 https://www.apiref.com/java11-zh/java.base/javax/net/ssl/X509TrustManager.html https://juejin.cn/post/6844903445040742408#heading-11 https://blog.csdn.net/zhouxinxin250/article/details/811649
java https x509trustmanager,java – 尝试连接到Web套接字服务器时,继续获取No X509TrustManager实现可用错误...
weixin_31526891的博客
03-11 1889
我有以下代码用于使用安全websockets连接到我的Java应用程序的Web套接字服务器.private boolean openConnection(boolean tried) {String sslFile =ConfigMgr.getValue(Constants.SSL_CFG_NAME, "sslfile");String sslPassword =ConfigMgr.getVal...
Java11实现X509TrustManager报错SSLHandshakeException分析及解决办法
JeanneYan的博客
07-17 3410
最近在学习用java实现HTTPS协议,Client用HttpsURLConnection来发起访问。传给SSLContext的TrustManager是我自己实现的一个简单的X509TrustManager,按照以往经验将checkClientTrusted和checkServerTrusted重写为空函数,getAcceptedIssuers方法直接返回null。本以为不会再有认证服务器的错误,但依然报错如下: Exception in thread "main" javax.net.ssl...
Android 图片压缩库Tiny,去掉了X509TrustManager的调用
最新发布
11-20
Android 图片压缩库Tiny,解决GooglePlay对rustManager审核不通过。
wechat.zip
06-17
2.MyX509TrustManager为证书信任管理器 3.SignUtil 为验证消息真实性(请求来源于微信)工具类 4.WeixinUtil包括了接收和发送消息类型初始化以及微信公众平台接口Url的初始化 5.XmlMessUtil是xml形式消息处理工具类
org.jasig.cas.client.util.CommonUtils
06-17
new X509TrustManager() { public java.security.cert.X509Certificate[] getAcceptedIssuers() { return null; } public void checkClientTrusted(java.security.cert.X509...
java.security.cert.CertificateException: No subject alternative DNS name matching XXX found解决方案
12-21
由于第三方服务商更新服务器证书,导致向其...public class TrustAllTrustManager implements javax.net.ssl.TrustManager, javax.net.ssl.X509TrustManager { @Override public java.security.cert.X509Certificate
证书信任管理器(用于https请求) X509TrustManager
xc2436的博客
08-05 1万+
关于接口 X509TrustManager整理 主要方法: checkClientTrusted     void    checkClientTrusted(X509Certificate[] chain, String authType)  参数:chain - 同位体的证书链authType - 基于客户端证书的验证类型抛出:IllegalArgumentEx
移动安全学习笔记——网络安全漏洞总结
0nc3的博客
03-07 1316
0x00 简介 文章目录0x00 简介0x01 socket端口开放问题1、漏洞原理2、检测方法3、漏洞危害4、修复方案0x02 SSL证书信任问题1、漏洞原理2、检测方法3、相关设置4、漏洞危害5、修复方案0x03 明文协议通信1、漏洞原理2、检测方法3、漏洞危害4、修复方案0x04 不安全的加密方式1、漏洞原理2、检测方法3、相关设置4、漏洞危害5、修复方案0x05 使用硬编码密钥加密1、漏洞原理2、检测方法3、相关设置4、漏洞危害5、修复方案0x06 参考 0x01 socket端口开放问题 1、漏洞
php 漏洞 _parse,PHP OpenSSL Extension 'openssl_x509_parse()'内存破坏漏洞
weixin_42318812的博客
03-16 261
Proof of Concept:The following x509 certificate demonstrates the out of bounds write:-----BEGIN CERTIFICATE-----MIIEpDCCA4ygAwIBAgIJAJzu8r6u6eBcMA0GCSqGSIb3DQEBBQUAMIHDMQswCQYDVQQGEwJERTEcMBoGA1UECAwT...
OpenSSL X509 Certificate反序列化漏洞(CVE-2015-3825)成因分析
omnispace的博客
10-05 2307
一、序 序列化 (Serialization),是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。使用者可以通过从存储区读取或反序列化对象的状态,重新创建该对象。Android也有许多场景使用序列化进行数据传递,如App间/内的对象传递、Binder通信的数据传递等等,一般涉及跨进程、跨权限。序列化/反序列也是程序/接口的一个输入,存储
自检代码trustmanager漏洞_Windows内核漏洞利用教程
weixin_39807954的博客
11-13 156
堆栈溢出漏洞首先,我们将从HackSysExtremeVulnerableDriver的vanilla栈溢出漏洞开始讲起。当向堆栈上的缓冲区存放的数据超出其存储容量时(例如,向16字节缓冲区(这里的缓冲区可以是字符数组或类似对象)存放20个字节时),多出来的数据将会写入附近的内存,从而覆盖或破坏堆栈。这里的核心思想是控制溢出过程,以便可以覆盖保存在堆栈的返回地址,并在执行当前(易受攻击的)...
java https x509trustmanager,java – 没有X509TrustManager实现可用
06-01
这个问题是因为在使用 HTTPS 进行请求时,Java 默认会验证 SSL 证书,如果证书不被信任或者不是由受信任的机构颁发的,就会抛出 "没有 X509TrustManager 实现可用" 的异常。 解决这个问题的方法是创建一个自定义的 X509TrustManager 实现类,然后在代码使用该实现类来验证 SSL 证书。以下是一个简单的示例代码: ```java import javax.net.ssl.*; import java.security.cert.X509Certificate; public class MyX509TrustManager implements X509TrustManager { public void checkClientTrusted(X509Certificate[] chain, String authType) {} public void checkServerTrusted(X509Certificate[] chain, String authType) {} public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; } } // 在代码使用自定义的 X509TrustManager 实现类 HttpsURLConnection.setDefaultHostnameVerifier((hostname, session) -> true); SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, new TrustManager[]{new MyX509TrustManager()}, null); HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory()); ``` 以上代码,我们先创建了一个名为 MyX509TrustManager 的自定义实现类,然后在代码使用该实现类来进行 SSL 证书验证。注意,这里我们将默认的 HostnameVerifier 设置为了一个始终返回 true 的实现类,这是为了避免由于证书的主机名和实际主机名不一致而导致的 SSL 异常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值