Android https证书校验、防抓包

已于 2023-10-12 10:49:22 修改
阅读量1.3k 收藏 21
点赞数 16
文章标签: android https 网络协议
于 2023-10-12 10:43:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/conerconced/article/details/133785750
版权

流程图

Android https证书校验简化流程

SSL/TLS握手

思路

要防止攻击者拿到用户信息就必须从以下方向着手:

1、防抓包

2、校验SSL证书

3、加密隐私数据

加密数据需要后端配合较为麻烦,而且因为一直以来的不规范操作,要想大面积的加密隐私数据几乎不可能。

所以就只能从1、2两点着手

防抓包

目前主流两种抓包方式:代理、VPN

代理:在应用层(http),较为容易防范

VPN:在网络层(socket)

防代理

利用OKHttp的api

OkHttpClient.Builder().proxy(Proxy.NO_PROXY).build()

此举只能防止代理抓包(CharlesFiddler),VPN抓包不能防(Wireshark

防VPN

初步的方案是在拦截器中判断网络连接是否包含VPN连接方式,如下

ConnectivityManager.getNetworkCapabilities()

如果包含,则抛异常,但是考虑可能会造成性能损耗和耗时故没有采用(没有测试过具体损耗和耗时,只是直觉),如果有更优方案也可校验

证书校验

我们请求框架使用的OKHttp,通过sslSocketFactory方法设置证书认证对象X509TrustManager

    HTTPSTrustManager httpsTrustManager = new HTTPSTrustManager();
    builder.sslSocketFactory(httpsTrustManager.getKyeSSLSocketFactory(), httpsTrustManager);
    builder.hostnameVerifier(new TrustAllHostnameVerifier());

当前我们做的是单校验,既客户端校验服务端

    @Override
    public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        // 未做实现
    }

    @Override
    public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        // 客户端校验服务端
        ....
    }

接下来就是如何校验SSL证书的问题了,这里有几个方案:

1、校验证书的颁发者、使用机构、颁发域名

2、校验证书的权威性,既是否正规CA机构颁发,也就是系统根目录中信任的证书

3、证书锁定

校验证书信息

使用机构、颁发域名

    chain[0].getSubjectDN().getName() // 例如:CN=*.xxx.com,O=xxxx

颁发机构

    chain[0].getIssuerDN().getName() // 例如:C=CN, O=TrustAsia Technologies, Inc., CN=TrustAsia RSA DV TLS CA G2

如果会更换证书供应商的话,不可校验颁发机构

校验证书的权威性

这里是利用设备中预先安装了权威CA机构颁发的根证书,受到了系统的信任

可以依赖OKHttp官方的支持库

    implementation("com.squareup.okhttp3:okhttp-tls:4.10.0")

okhttp-tls已经支持校验系统根证书,注意版本号应该跟okhttp版本号一致

    HandshakeCertificates clientCertificates = new HandshakeCertificates.Builder()
        .addPlatformTrustedCertificates()
        .build();
    OkHttpClient client = new OkHttpClient.Builder()
        .sslSocketFactory(clientCertificates.sslSocketFactory(), clientCertificates.trustManager())
        .build();

在一般情况中,这个方法就完全足够校验了

但在用户设备被root,系统信任的根证书目录被篡改的情况下,这个方法就行不通了。设备被root后,系统已经丧失了安全性,攻击者往系统信任的根证书目录下插入自签名的证书,这样一来,这个方案就不可行了

证书锁定

利用https握手时下发的公钥证书,与本地或者下发的证书公钥做比对,不一致则抛异常

RSAPublicKey pubkey = (RSAPublicKey)chain[0].getPublicKey();
String encoded = new BigInteger(1, pubkey.getEncoded()).toString(16);
final boolean expected =PUB_KEY_2023.equalsIgnoreCase(encoded) || PUB_KEY_2024.equalsIgnoreCase(encoded);

目前的方案是只做了静态配置公钥校验

后续需要迭代证书公钥动态下发能力

证书动态下发

1、由后端提供一个下发接口

2、这个接口保障其他接口的证书校验,在证书过期时也能访问,所以不能校验证书

3、不校验证书的情况下,有可能被劫持,下发攻击者自签名证书的公钥,从而让App信任攻击者的证书

4、所以接口必须加密,具体如下:

(1)非对称加密,后端生成秘钥和公钥,App持有公钥

(2)对称加密算法加密SSL证书的公钥字符串

(3)非对称加密算法的秘钥加密对称加密算法的秘钥

(4)接口出参两个字符串:加密后的SSL证书公钥、加密后的对称加密算法的秘钥

(5)客户端用非对称加密算法的公钥解密对称加密算法的秘钥,拿到对称加密算法的秘钥后解密SSL证书公钥

5、将证书公钥缓存下来

证书校验能力

后续考虑将证书校验拓展成原生能力,开放信任的证书池协助h5完成SSL证书校验工作

参考

货拉拉SSL证书踩坑之旅

okhttp-tls

TLS 证书校验

conerconced
关注
  • 16
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTTPS工作原理以及Android中如何抓包
2401_84149694的博客
04-18 310
现在都说互联网寒冬,其实无非就是你上错了车,且穿的少(技能),要是你上对车,自身技术能力够强,公司换掉的代价大,怎么可能会被裁掉,都是淘汰末端的业务Curd而已!今天关于面试的分享就到这里,还是那句话,有些东西你不仅要懂,而且要能够很好地表达出来,能够让面试官认可你的理解,例如Handler机制,这个是面试必问之题。综上,通过引入自定义证书,然后给OkHttp设置sslSocketFactory可以有效的抓包,但是.cer放到assets下很容易被反编译,可以通过jdk下的命令。导出字符串,然后通过。
android 服务器证书校验,Android HTTPS证书验证的简单方式
weixin_39607873的博客
05-26 2089
1. 背景与需求近期在做IP切换的HTTPS访问时,遇到了一些问题:客户端如何进行HTTPS证书验证。其实对于一般的项目基本都是做的单向验证,即在客户端证书或者HOST的验证;对于金融、银行相关的项目才会使用的双向验证,客户端与服务端之间都要对彼此进行验证,以止中间人进行攻击。2.实现目标本文记录的是:客户端实现对HOST的验证,这样基本满足一般项目的需求,也不需要客户端内置证书,引起更新时候...
Android逆向抓包技巧 - 服务端证书认证
最新发布
dafan0的博客
05-12 799
客户端证书校验和服务端证书校验的表现都是app不能加载出有效信息,但在客户端证书校验中,Charles抓包得到的验证码为2开头的,在服务端证书校验中,Charles抓包得到的验证码为4开头的。
Android证书有效性验证方案
我的专栏
09-30 3220
SSL劫持攻击: 目前虽然很多Android APP使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息,攻击示意图如下:
android 添加SSL证书
weixin_39499334的博客
09-14 153
原文链接:https://blog.csdn.net/u013424496/article/details/51161647。
Android中使用Webview SSL 自签名CA证书安全校验方案
jsxin0816的博客
11-18 2668
Android中使用Webview SSL 自签名证书校验
Android https 自签名和CA证书验证(基于OkHttp)
黄小梁的博客
11-12 6854
Android HTTPS自签名和CA证书验证(基于OkHttp)HTTPS介绍场景 HTTPS介绍 HTTPS是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道,加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。简单来说,HTTPS就是“安全版”的HTTP, HTTPS = HTTP + SSL。HTTPS相当于在应用层和TCP层之间加入了一个SSL/TLS,SSL层对从应用层收到的数据进行加密。TLS/SSL中
HTTPS工作原理以及Android中如何抓包安卓开发入门书籍推荐
2401_84024576的博客
04-01 1062
在这里我和身边一些朋友特意整理了一份快速进阶为Android高级工程师的系统且全面的学习资料。涵盖了Android初级——Android高级架构师进阶必备的一些学习技能。附上:我们之前因为秋招收集的二十套一二线互联网公司Android面试真题(含BAT、小米、华为、美团、滴滴)和我自己整理Android复习笔记(包含Android基础知识点、Android扩展知识点、Android源码解析、设计模式汇总、Gradle知识点、常见算法题汇总。
Android webview手动校验https证书(by 星空武哥)
08-29
然而,由于Android系统版本间的差异或特定设备的bug,有时Webview可能无法正确验证HTTPS证书,导致加载某些网站时出现错误。比如华为Mate7手机在升级到Android 7.0后,可能出现无法正常打开某些HTTPS网站的问题,但...
Android APP之WebView校验SSL证书的方法
08-29
"Android APP之WebView校验SSL证书的方法" Android APP之WebView校验SSL证书的方法是Android应用程序中一个非常重要的安全机制。SSL证书校验是指Android APP中的WebView组件在访问HTTPS站点时,如何验证服务器提供...
Android SSL证书验证原理
08-25
Android SSL验证原理
https证书校验方法
12-09
本篇文章将深入探讨“HTTPS证书校验方法”,特别是与OkHttp库相关的实践。 首先,了解HTTPS证书的基本概念是必要的。HTTPS证书,也称为SSL证书,是由受信任的证书颁发机构(CA)签发的数字证书,用于确认网站的身份...
APP抓包( 过二次校验思路)
01-08
过双向校验的,得先去APP里面找到证书,然后导入到抓包工具里面,因为在向前面所述博客文章,去伪造证书已经不管用了,我们先去找找特征。 比如 搜索 运气好的话能搜索到证书,但是一般都有密码。。 我这里这个APP...
Android okhttp3.0忽略https证书的方法
08-28
Android OkHttp 3.0 忽略 HTTPS 证书的方法 一、HTTPS 证书简介 HTTPS 证书是用于确保网络通信安全的一种数字证书。它可以验证服务器的身份,确保客户端和服务器之间的通信安全。 HTTPS 证书可以分为两种:一种是...
漫画:App-止-Fiddler-抓包小技巧!
2401_84122826的博客
04-07 497
如果你看到了这里,觉得文章写得不错就给个赞呗?如果你觉得那里值得改进的,请给我留言。一定会认真查询,修正不足。最后针对Android程序员,我这边给大家整理了一些资料,包括不限于高级UI、性能优化、移动架构师、NDK、混合式开发(ReactNative+Weex)微信小程序、Flutter等全方面的Android进阶实践技术;希望能帮助到大家,也节省大家在网上搜索资料的时间来学习,也可以分享动态给身边好友一起学习!
Android App 抓包
luoshufeng1234的博客
04-20 6107
这篇文章谈谈如何止 App 被抓包 首先我们要知道常用的抓包方式有 Charles 和 Fiddler。他们通过在手机网络中添加代理的方式,拿到 App 的请求。 如果是 Https 连接的话,我们要先在手机中添加 Charles或Fiddler 的证书,然后Charles通过修改服务器发送证书链,让手机信任Charles 的证书,从而拿到 App 的请求。 下面是一些对策: 一、使用无代理 Proxy.NO_PROXY charles 和 fiddler 都使用代理来进行抓包,对网络客户端使用
Android如何避免抓包
LiuChurou的博客
12-20 4750
App开发完,就需要商务人员上各个渠道推广,往往商务人员用apk包上架各个应用商店,统计各个渠道的安装量和激活量来考核业绩。做过Android开发或者推广人员都知道,Android的缺点越来越突出,那就是手机碎片化严重。每个开发者后台的机制也不一样,一旦apk上架多个应用商店,apk版本不统一(版本更新迭代)就很容易出现抓包,串数据的情况。 1、什么是抓包? 就是应用市场A使用了B或C、D等其他渠...
绕过安卓SSL验证证书的四种方式
热门推荐
omnispace的博客
02-04 1万+
在此之前,移动端应用程序会直接忽略掉所有的SSL错误,并允许攻击者拦截和修改自己的通信流量。但是现在,很多热门应用程序至少会检查证书链是否是一个有效可信任的证书机构(CA)颁发的。 作为一名渗透测试人员来说,我们常常需要让目标应用程序信任我们的证书是有效的,这样我们就可以进行中间人攻击(MITM)并修改其流量了。在这篇文章中,我们将给大家介绍四种绕过Android SSL验证的方式。
https证书校验jar包
04-25
您可以使用Java的内置SSL类来执行https证书校验,而不需要下载任何外部jar包。您可以使用以下代码来执行证书校验: ``` import javax.net.ssl.*; import java.security.cert.X509Certificate; public class SSLCertVerification { public static void main(String[] args) { try { SSLContext sslContext = SSLContext.getInstance("SSL"); sslContext.init(null, new TrustManager[]{new X509TrustManager() { public void checkClientTrusted(X509Certificate[] chain, String authType) {} public void checkServerTrusted(X509Certificate[] chain, String authType) {} public X509Certificate[] getAcceptedIssuers() { return null; } }}, null); HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory()); HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier() { public boolean verify(String hostname, SSLSession session) { return true; } }); // Make an https request URL url = new URL("https://your-https-url.com"); HttpsURLConnection connection = (HttpsURLConnection) url.openConnection(); connection.setRequestMethod("GET"); BufferedReader in = new BufferedReader(new InputStreamReader(connection.getInputStream())); String inputLine; while ((inputLine = in.readLine()) != null) { System.out.println(inputLine); } in.close(); connection.disconnect(); } catch (Exception e) { e.printStackTrace(); } } } ``` 这段代码创建了一个自己的SSLContext,并将其设置为默认的SSL socket工厂和主机名验证程序。这样,您可以忽略证书错误并继续连接,也可以编写自己的验证逻辑以验证证书。在我们的代码示例中,我们只是忽略了验证,但您可以改为在自己的验证程序中执行适当的验证逻辑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值