Android开发中的Https安全规范

最新推荐文章于 2024-04-07 00:31:38 发布
最新推荐文章于 2024-04-07 00:31:38 发布
阅读量1.1k 收藏
点赞数
分类专栏: 安全 Android源码 文章标签: android 安全 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caizehui/article/details/112464577
版权
前言:越来越多的Android应用为了android通信安全,将http通信改为Https通信连接,或单向验证或双向验证。 但是如果不按规范将TLS连接中对证书等进行安全校验,实际上和http通信没有任何差别,还是有很多的安全风险,如中间人攻击等。一方面TLS版本要高,如TLS1.2、TLS1.3,因为旧版本的都已发现安全漏洞。另外,就是一些通用部分,如下为阿里Android开发手册部分提到的规范,可以进行参考。从 2017 年 3 月 1 日起,只要新应用或应用更新采用的 HostnameVerif
摘要由CSDN通过智能技术生成

前言:

越来越多的Android应用为了android通信安全,将http通信改为Https通信连接,或单向验证或双向验证。 但是如果不按规范将TLS连接中对证书等进行安全校验,实际上和http通信没有任何差别,还是有很多的安全风险,如中间人攻击等。
一方面TLS版本要高,如TLS1.2、TLS1.3,因为旧版本的都已发现安全漏洞。另外,就是一些通用部分,如下为阿里Android开发手册部分提到的规范,可以进行参考。

从 2017 年 3 月 1 日起,只要新应用或应用更新采用的 HostnameVerifier 的实施方式不安全,一律禁止在 Google Play 发布。您已发布的APK版本不会受到影响,但是,如果不解决此漏洞,您将无法为应用发布任何更新。

使用HostnameVerifier验证主机名

【强制】在实现的 HostnameVerifier 子类中,需要使用 verify 函数效验服务器主机名的合法性,否则会导致恶意程序利用中间人攻击绕过主机名效验。
说明:
在握手期间,如果 URL 的主机名和服务器的标识主机名不匹配,则验证机制可以回调此接口的实现程序来确定是否应该允许此连接。如果回调内实现不恰当,默认接受所有域名,则有安全风险。
反例:

HostnameVerifier hnv=new HosernameVerifier(){
   
  @Override
  public boolean verify(String hostname,SSLSession session){
   
      return ture;
  }
最低0.47元/天 解锁文章
Zephyr Cai
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tavis.UriTemplates, URI模板规范https的.NET 实现.zip
09-18
Tavis.UriTemplates, URI模板规范https的.NET 实现 Uri模板 URI模板规范 RFC6570的. NET 实现。库实现级别 4遵从性,并针对来自 UriTemplate测试套件的测试用例进行测试。以下是一些基本用法示例:替换路径段参数,[Fact]public
Http与Https协议规范
weixin_30709809的博客
04-27 393
HTTP是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。它于1990年提出,经过几年的使用与发展,得到不断地完善和扩展。目前在WWW使用的是HTTP/1.0的第六版,HTTP/1.1的规范化工作正在进行之,而且HTTP-NG(Next Generation of HTTP)的建议已经提出。 HTTP协议的主要特点可概括...
Android平台HTTPS抓包解决方案及问题分析,Android开发大佬的百度美团快手等大厂Offer收割之旅
最新发布
2301_78145364的博客
04-07 627
如果想抓一个App的包,可以找个历史版本,只需要其targetSdkVersion < 24即可。然而,随着GooglePlay开始限制targetSdkVersion,现在要求其必须>=26,2019年8月1日后必须>=28,国内应用市场也开始逐步响应这种限制。绝大多数App的targetSdkVersion都将大于24了,也就意味着抓HTTPS的包越来越难操作了。
Android https 验证,Android Https单向验证
weixin_34727107的博客
05-27 270
最近在维护一个老掉牙的项目,用了HttpClient,而且还要改用Https协议,于是客户端报错了:javax.net.ssl.SSLPeerUnverifiedException: No peer certificate ,这是使用https没有验证证书导致,解决的方式有两种:单向验证和双向验证,单向验证信任所有的证书,有安全风险,双向验证是建立在单向验证的基础上的,然后做了个单向验证:/***...
HTTPS证书基本概述
ghost_yu的博客
08-08 1038
https证书 为什么需要使用HTTPS 因为HTTP不安全,当我们使用http网站时,会遭到劫持和篡改,如果采用https协议,那么数据在传输过程是加密的,所以黑客无法窃取或者篡改数据报文信息,同时也避免网站传输时信息泄露。 https证书:ssl协议 在数据进行加密与解密过程,如何确定双方的身份? 此时就需要有一个权威机构来验证双方身份,那么这个权威机构就是CA机构。 那么CA机构又是如何颁发证书? 我们首先需要申请证书,先去登记机构进行身份登记然...
Android SSL证书验证原理
08-25
Android SSL验证原理
阿里巴巴Android开发规范2022最新版
05-11
以上只是部分关键知识点,完整的阿里巴巴Android开发规范涵盖了更多细节,如代码组织结构、异常策略、国际化、安全实践等,是Android开发者日常工作不可或缺的参考指南。通过遵循这些规范开发者不仅可以写出更高...
Android开发规范流程.doc
11-15
Android开发规范流程】 在Android移动端开发,遵循一套严谨的开发规范至关重要,因为它能确保代码的可读性、可维护性以及团队间的协作效率。本文档主要涵盖以下几个方面: 1. **代码规范** - **基本原则**:...
Android安全规范
01-17
Android安全规范开发App项目必须遵守。否则很容易出现代码泄漏等问题
Android安全Https间人攻击漏洞
09-18
HTTPS,是一种网络安全传输协议,利用SSL/TLS来对数据包进行加密,以提供对网络...https在理论上是可以抵御MITM,但是由于开发过程的编码不规范,导致https可能存在MITM攻击风险,攻击者可以解密、篡改https数据。
联想Android开发工程师面试题完整版.zip
06-05
在准备成为联想Android开发工程师的过程,面试是至关重要的一步。这份“联想Android开发工程师面试题完整版.zip”压缩包包含了全面的面试准备资料,旨在帮助求职者深入理解Android开发的关键知识点,提高面试成功...
https协议理解
qq_34736564的博客
11-18 244
HTTPS基础知识:HTTPS (Secure Hypertext Transfer Protocol)安全超文本传输协议,是一个安全通信通道,它基于HTTP开发用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用TLS/SSL加密的HTTP协议。HTTP协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险,而协议TLS/SS...
Android Https的详解
ruanyandong的博客
09-20 4006
Https的通信过程 两种加密 加密方式分两种,对称加密和非对称加密。这两种方式都有自己的优劣势, https这两种方式都采用了。 我们约定S是服务端,C是客户端,客户端需要从服务端获取信息; 对称加密 这种加密方式比较简单,就是双方都持有密匙。S和C都持有密匙, S通过密匙加密明文传递给C,C获取加密后的信息,用密匙解密信息。 优势: 加密速度快 劣势: 密匙的传递是个问题,容易被截取,密匙一旦被截取后, 就能轻易破解信息。 常见的对称加密算法有DES、3DES、TDEA、Blowfish、RC5
Android静态安全检测 -> 证书弱校验
4lwin博客
07-29 1万+
证书弱校验 - X509TrustManager.checkServerTrusted方法 1. API 继承关系 javax.net.ssl.X509TrustManager public interface X509TrustManager implements TrustManager 主要方法
android 应用安全
carson2440的专栏
12-28 700
Android端应用安全开发指南 一 数据存储 概述 移动应用经常需要在某些场景下(比如用户登录)处理和用户或业务相关的敏感数据,有时候为满足某些业务需求,需要把这些敏感数据存储在本地,如果不对这些数据进行适当处理,就有可能存在敏感信息泄漏的风险。 安全准则 A.敏感数据总是优先考虑存储在内部空间。 B.敏感数据无论是存储在内部还是外部空间均应经过加密后再存储,应避免直接明文存储。 C....
【漏洞修复】自定义实现的X509TrustManager子类..
技术的学习与积累是个技术活
07-27 1万+
漏洞说明 /** * 覆盖java默认的证书验证 */ private static final TrustManager[] TRUSTALLCERTS = new TrustManager[]{ new X509TrustManager() { public java.security.cert.X509Certificate[] getAcceptedIssuers() { r
最全Android安全检测漏洞解决方案
热门推荐
weixin_40798907的博客
03-09 1万+
前言:APP安全检测通常在一些小型企业涉及的比较少,并且并不太关注这方面的问题。然而在一些大型互联网企业或者国企等等就非常在意这方面的安全问题,并且会有专门的人去对APK进行检测。本节我们一起学习在Android大量的app漏洞应如何去避免或者修改。 一、基本应用信息 通常包括:应用名称、包名、文件大小、版本信息、文件MD5、签名信息、加固厂商、第三方SDK等。 二、安全漏洞检测项 加密算法和密码安全 1 、AES/DES加密算法不安全使用风险 2 、RSA加密算法不安全使用风险 安全防护能力 1、 Z
通过HTTPS使用HttpClient信任所有证书
asdfgh0077的博客
02-13 3667
最近在Https上发布了有关HttpClient的问题( 在此处找到 )。 我取得了一些进展,但遇到了新问题。 与我的最后一个问题一样,我似乎找不到任何适合我的示例。 基本上,我希望我的客户
http java ssl_使用HttpClient通过HTTPS信任所有证书
weixin_32243075的博客
02-15 477
使用HttpClient通过HTTPS信任所有证书最近发布了一个关于HttpClient过度Https的问题(在这里找到)。我已经取得了一些进展,但我遇到了新的问题。和我的上一个问题一样,我似乎无法找到适合我的任何地方的例子。基本上,我希望我的客户端接受任何证书(因为我只指向一个服务器),但我一直在接受javax.net.ssl.SSLException: Not trusted server ...
Android开发编码规范
03-28
Android开发,编码规范是确保代码质量、可读性和团队协作的重要工具。这份文档是基于《阿里巴巴Java开发手册》延伸而来,专门针对Android开发者的编码习惯和规范。它涵盖了从资源文件命名到安全性等多个方面,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值