Android静态安全检测 -> WebView忽略SSL证书错误检测

最新推荐文章于 2023-08-31 14:36:56 发布
最新推荐文章于 2023-08-31 14:36:56 发布
阅读量754 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SSL88888/article/details/103391138
版权

一、API

  1. 继承关系

【1】java.lang.Object
【2】android.os.Handler
【3】android.webkit.SslErrorHandler

  1. 主要方法

【1】cancel( )
停止加载问题页面

【2】proceed( )
忽略SSL证书错误,继续加载页面

【3】其他方法

参考链接:http://www.apihome.cn/api/android/SslErrorHandler.html

二、触发条件

  1. 调用SslErrorHandler类的proceed方法

【1】对应到smali语句中的特征:Landroid/webkit/SslErrorHandler;->proceed()V

  1. 方法名:onReceivedSslError

三、漏洞原理

【1】Android WebView组件加载网页发生证书认证错误时,会调用WebViewClient类的onReceivedSslError方法,如果该方法实现调用了handler.proceed()来忽略该证书错误,则会受到中间人攻击的威胁,可能导致隐私泄露

【2】漏洞代码样例
在这里插入图片描述

四、修复建议

【1】不调用android.webkit.SslErrorHandler的proceed方法

【2】当发生证书认证错误时,采用默认的处理方法SslErrorHandler.cancel(),停止加载问题页面

作者:1198553937 漫步者

漫步者1198553937
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iOS WebView 忽略不受信任的https证书SSL
WangQingLei0307的博客
03-21 4429
大家在开发过程中经常会使用到WebView,但是在使用WebView经常回家再Https,可是有一些Https是不受信任的,这个时候我们就要跳过这个Https信任这个过程,那我们如何跳过这个过程呢? 为了方便使用,我们创建一个类别。 类别名字NSURLRequest+IgnoreSSL.h #import <Foundation/Foundation.h> NS_ASSUM...
android webview 加载https白屏,设置忽略证书
最新发布
无风全靠浪
11-13 4万+
注意要忽略 super.onReceivedSslError(view, handler, error);调用,否则会按照handler.cancel();// super中默认的处理方式,WebView变成空白页。//忽略证书错误继续加载页面内容,不会变成空白页面。
android webview签名,Android Webview SSL 自签名安全校验解决方案
weixin_39838231的博客
05-27 511
服务器证书校验主要针对 WebView安全问题。在 app 中需要通过 WebView 访问 url,因为服务器采用的自签名证书,而不是 ca 认证,使用 WebView 加载 url 的时候会显示为空白,出现无法加载网页的情况。使用 ca 认证的证书,在 WebView 则可以直接显示出来,不需要特殊处理。以往针对自签名证书的解决方案是继承 WebViewClient 重写 onReceiv...
uniapp 微信小程序webview 踩坑
Raccon_的博客
08-31 5418
微信小程序的存在许多功能上的限制和约束,有些情况不得不去使用webview进行开发实现需求,比如原生无法满足(例如某团队维护SDK 只提供了WEB端jsSDK,且不维护小程序SDK)H5可以同时适用多端(适用范围更广)H5可以弥补小程序部分欠缺微信生态有部分限制(包大小,设计规范等)由于最近做的需求小程序不支持播放带有透明通道的视频,所以转到了webview这里总结下完整的开发流程和现有的各种解决方案: 开发阶段需要将不校验合法域名勾选上。
Android APP之WebView校验SSL证书的方法
08-29
在处理SSL错误时,需要对服务器证书进行强校验,如果服务器传入证书的指纹(sha256)与记录值一致,说明WebView验证过程存在缺陷(如:手机日期错误、根证书被删除 等),忽略SSL错误;如果证书匹配失败,表明数据...
Android代码-Android-X5WebView基本封装
08-06
Android-X5WebView基本封装和使用 通过OkHttp拦截器、自定义CookieJar有效完成客户端与H5端的Cookie同步管理 监听WebView的加载进度 滚动条的设置(隐藏或者显示,内侧显示还是外侧显示) 优化X5WebView的预加载问题...
android-system-webview-7703.apk
11-30
Android8.0以下手机自带的android-system-webview版本过低使用
cordova-plugin-ionic-webview:用于Cordova的Web View插件,专门用于Ionic应用程序
05-04
该插件在iOS上使用WKWebView,在Android上使用最新的常绿webview。 此外,此插件使Web开发人员期望使用HTML5样式路由轻松构建单页应用程序。 注意:此存储库及其文档适用于cordova-plugin-ionic-webview @ 5.x ,...
Android-封装WebView加载中和错误页面
08-13
Android开发中,WebView是一个非常重要的组件,它允许我们在应用程序中内嵌网页内容,实现与网页的交互。本文将深入探讨如何封装一个WebView,以处理加载中和错误页面的情况,提高用户体验。 首先,我们需要理解...
Android 漏洞修复
Android格调小窝
08-01 1488
由于系统没有限制已注册JAVA类的方法调用,因此未注册的其它任何JAVA类也可以被反射机制调用,这样可能导致被篡改的URL中存在的恶意代码被执行,用户手机被安装木马程序,发送扣费短信,通信录或者短信被窃取,甚至手机被远程控制。在金融类或者通讯类app中可能会导致重要信息被窃取。webviewClient中有onReceivedError方法,当出现证书校验错误时,我们可以在该方法中使用handler.proceed()来忽略证书校验继续加载网页,或者使用默认的handler.cancel()来终端加载。..
python 中遇到ssl报错的解决方法
西门大盗 捉虫专家
06-01 4200
大部分遇到ssl错误时,只要添加verify=False 即可,但是有时还是无法解决,那么,下面这样写,就能处理多种的ssl报错问题。 import requests requests.packages.urllib3.disable_warnings() #requests.packages.urllib3.disable_warnings(InsecureRequestWarning) ...
【Wikipedia爬虫工具包的使用】请求超时、代理错误SSLError
qq_44386955的博客
08-09 1654
https://github.com/goldsmith/Wikipedia使用该工具包爬取维基百科`TimeoutError;urllib3.exceptions.NewConnectionError;requests.exceptions.ConnectionError;requests.exceptions.ProxyError`
Android中使用Webview SSL 自签名CA证书安全校验方案
jsxin0816的博客
11-18 2805
Android中使用Webview SSL 自签名证书校验
Android中的HTTPS问题
大前端程序员的自我修养
07-09 2456
Android中涉及HTTPS最多的两个地方:一个是WebView,一个是OKHttp。在开发调试阶段,我们的CA证书往往并不是正式,这样就会发生WebVIew显示不了HTTPS页面,OKHttp访问不了HTTPS接口的问题。本文主要介绍了这两个问题产生的原因以及如何解决。
服务器调用https缺少证书,Https自定义证书引入问题(2)
weixin_29454359的博客
07-31 1688
上一篇介绍接口使用https并且证书是自签的情况下,如何在客户端信任服务器证书,没有看过的请移步1.Webview加载https问题1.1 最简单的方式,助各位大佬一秒脱坑自定义证书的https地址在加载时会进入onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) 方法,前提是自定义webviewClie...
APP android 测试用例手册
mingyqf的博客
02-16 1366
原文链接:https://www.cnblogs.com/backlion/p/15701898.html。
Android中使用WindVane所遇到的坑
wangjiang
08-09 8176
最近做了一个需求,需要在Android中显示H5页面,且H5与Native之间有很多的交互,所以采用了WindVane。1.如何使用WindVane JSBridge简介: WindVane JSBridge 提供了 JS 与 Native 之间的通信链路,基于这个通信基础,Native 可以暴露出一些服务 API 提供给 JS 调用,并通过方法返回值或事件将数据返回给 JS。 JS
关于android WebViewClient 的方法解释
Cwuhao的专栏
06-14 1万+
 1、public boolean shouldOverrideUrlLoading(WebView view, String url) {         view.loadUrl(url);       return true;  }   在点击请求的是链接是才会调用,重写此方法返回true表明点击网页里面的链接还是在当前的webview里跳转,不跳到浏览器那边。
mainframe= ui->webView->page()->mainFrame();作用
05-31
具体来说,ui->webView是一个QWebView对象的指针,它是通过Qt Designer创建的用户界面中的一个Web浏览器控件,用于显示Web页面。通过调用ui->webView的page()方法可以获取到QWebPage对象的指针,QWebPage是QWebView...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值