Android 明文数字证书风险解决方案

最新推荐文章于 2024-07-16 01:16:46 发布
最新推荐文章于 2024-07-16 01:16:46 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: 移动安全 文章标签: android java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_38787615/article/details/106089801
版权
测评目的检测客户端是否包含明文存储的数字证书文件
危险等级
危害Apk中使用的数字证书可被用来校验服务器的合法身份,以及在与服务器进行通信的过程中对传输数据进行加密、解密运算,保证传输数据的保密性、完整性。明文存储的数字证书如果被篡改,客户端可能连接到假冒的服务端上,导致用户名、密码等信息被窃取;如果明文证书被盗取,可能造成传输数据被截获解密,用户信息泄露,或者伪造客户端向服务器发送请求,篡改服务器中的用户数据或造成服务器响应异常
测评结果存在风险(发现1处)
测评结果描述该Apk 中存在明文存储的数字证书文件
测评详细信息… (省略具体位置)

解决方案

1.将项目中的.crt文件找到,提取文件中的内容复制在字符串上。例如:

private static String NEWCRT =“文件内容...”

   /**
     *  okhttp 配置
     * @param okHttpClientBuilder
     * @param cerStr
     */
 public static void setCertificate(OkHttpClient.Builder okHttpClientBuilder, String cerStr) {
        try {
            CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
            ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(cerStr.getBytes());
            Certificate ca = certificateFactory.generateCertificate(byteArrayInputStream);

            KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
            keyStore.load(null, null);
            keyStore.setCertificateEntry("ca", ca);

            byteArrayInputStream.close();

            TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            tmf.init(keyStore);

            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, tmf.getTrustManagers(), new SecureRandom());
            okHttpClientBuilder.sslSocketFactory(sslContext.getSocketFactory(), (X509TrustManager) tmf.getTrustManagers()[0]);
            okHttpClientBuilder.hostnameVerifier(new HostnameVerifier() {
                @Override
                public boolean verify(String hostname, SSLSession session) {
                     return true;
                }
            });
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
Zz_糖小七
关注
专栏目录
数字证书笔记
shuangmu9768的博客
09-07 1万+
【1】非对称加密、数字签名、数字证书、keytool自签名证书 【2】HTTPS、SSL 证书、利用Openssl制作自签名SSL证书 【3】tomcat开发环境配置启用https 【4】Spring Boot2中配置HTTPS 【5】导入安全证书到jdk 【6】Tomcat服务器配置https双向认证 【7】openssl与keytool 区别 【8】利用Openssl与Keytool制作Tomcat数字证书 【9】SSL工作原理 【10】NIO模式和BIO模式实现SSL协议通信 【11】Java Key
Android 开发中的SSL pinning
xiangzhihong8的专栏
12-17 906
在日常的安全渗透过程中,我们经常会遇到瓶颈无处下手,这时候如果攻击者从APP进行突破,往往会有很多惊喜。但是目前市场上的APP都会为防止别人恶意盗取和恶意篡改进行一些保护措施,比如模拟器检测、root检测、APK加固、代码混淆、代码反调试、反脱壳、签名校验等等对抗机制。而测试人员对APP进行渗透的首步操作通常就是上burp或者Charles这类抓包工具进行抓包,查看请求记录里的域名及链接地址是否可以进一步利用。我们都知道http协议传输的是明文信息,是可以直接捕获的,从而造成了数据泄露。
数字证书明文_Android 明文数字证书风险解决方案
weixin_39670627的博客
12-22 1177
测评目的检测客户端是否包含明文存储数字证书文件危险等级中危害Apk中使用的数字证书可被用来校验服务器的合法身份,以及在与服务器进行通信的过程中对传输数据进行加密、解密运算,保证传输数据的保密性、完整性。明文存储数字证书如果被篡改,客户端可能连接到假冒的服务端上,导致用户名、密码等信息被窃取;如果明文证书被盗取,可能造成传输数据被截获解密,用户信息泄露,或者伪造客户端向服务器发送请求,篡改服务器...
APP上架合规检查,APP内存在明文数字证书风险.cer
hhb282的博客
08-04 680
存在的明文证书为ag_sdk_cbg_root.cer
Android静态安全检测 -> 明文数字证书风险
4lwin博客
11-29 4471
明文数字证书风险 - .cer文件 一、API 【1】os.walk(dir_path) 遍历某路径下的所有文件 【2】os.path.splitext(file_name) 分离文件名与扩展名 【3】os.path.join(root, file) 连接目录与文件名或目录 二、触发条件 1. 主要是查找反编译目录中的.cer文件
数字证书明文_数字证书
weixin_42518090的博客
01-05 316
数字证书/数字签名A发消息给B,中间可能受C节点的窃听、篡改,或被C伪装。A-------------(C)-------------->B窃听、篡改、伪装对称加密:明文---(密钥加密)---密文---(密钥解密)---明文;加密解密密钥相同非对称加密:明文---(公钥加密)---密文---(私钥解密)---明文;加密解密密钥不同防窃听:A---B公钥加密---(C)---B私钥...
Android安全加密:数字签名和数字证书
gitzzp的博客
09-26 497
本文转自:http://blog.csdn.net/axi295309066/article/details/52494832 Android安全加密专题文章索引 Android安全加密:对称加密 Android安全加密:非对称加密 Android安全加密:消息摘要Message Digest Android安全加密:数字签名和数字证书 Android安全加密:Https编程 以上
Android安全-数字证书
彬子的技术专栏
01-11 1534
数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的 证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等
Android应用安全实践 -- 某些Android应用在客户端明文存储登录密码
软件质量优化
09-20 2401
指付通 是提供给指付通用户根据您的位置找到商家信息和优惠信息并在消费后可以真实点评,并通过互动交友、同步足迹、发布点评来赚取指付币,具有消费参考价值的社交平台。
Android面试八股文】1.使用了HTTPS就绝对安全了吗?2.HTTPS 会被抓包吗?3.如何避免被中间人抓取数据?
最新发布
字节卷动
07-16 591
HTTPS是在 HTTP 的基础上加入加密层的协议,用于安全的数据传输。TCP 三次同步握手客户端验证服务器数字证书DH 算法协商对称加密算法的密钥、hash 算法的密钥SSL 安全加密隧道协商完成网页以加密的方式传输,用协商的对称加密算法和密钥加密,保证数据机密性;用协商的 hash算法进行数据完整性保护,保证数据不被篡改。HTTPS 一定是安全的吗?用了HTTPS就安全了吗?HTTPS 会被抓包吗?网络面经:使用HTTPS就绝对安全了吗?
安全加固-checklist
01-08
信息安全加固的checklist,从绿盟的基线拿出来的,当然有些是错误的、还有些不准确等等,作为参考还是不错的。
Android面试八股文】SSL握手的过程都经历过什么?
字节卷动
06-18 111
SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是用于在网络通信中提供安全性的协议。它们的版本历史反映了对安全漏洞的修复、性能的改进以及新的加密技术的采用。SSL 和 TLS 的发展历程体现了对不断演变的安全威胁的响应以及加密技术的演进。每个新版本都旨在修复前一版本的漏洞,提供更强的加密和更好的性能。目前,TLS 1.2 和 TLS 1.3 是最常用的版本,其中 TLS 1.3 被视为最安全和高效的选择。
字节跳动技术整理:一种非常简单的Android屏幕适配方案,灵魂拷问
Sunbuyi的博客
02-20 401
背景 首先我是个菜鸡,工资也低的一笔。 刚毕业时候在一家国企上班干 app 开发,干了快两年的时候,跳槽到了一家伪大厂干安全。投了不少简历都没有回音,只有这加伪大厂要我就来了。当时说好了会接触一些底层的东西,然而平时也就写 python 脚本,逆向,android 上写了一些风控的东西,感觉有点 low,工资也不高,当初没敢多要,hr 给的比我要的还高。刚刚 leader 谈了谈明年的规划,现在想跳槽。 现在也是很尴尬,原来 app 开发的东西也忘了不少,然后其实我想干 framework 开发,自己对 a
防御中间人攻击:Android证书锁定
chuyouyinghe的专栏
10-12 484
中间人攻击(MITM)是一种狡猾且危险的网络威胁,可能严重破坏用户的在线安全和隐私。在这种攻击中,未经授权的第三方截取并窃听两个相信彼此直接连接的各方之间的通信,通常是用户和受信任的服务器或网站。攻击者潜入通信流的中心位置,因此得名“中间人”。证书锁定是一种安全实践,限制应用程序从服务器接受的可信数字证书的数量,以建立安全连接。与仅依赖公钥基础设施(PKI)范 paradigm 不同,PKI中有大量证书颁发机构(CA)发行证书证书锁定要求应用程序仅信任与受信任机构相关联的某些证书或公钥。
Android应用中的常见漏洞总结(下)
梅花寺
07-26 414
Android应用中的常见漏洞总结下期来啦,和小编一起看看吧~#####Zipslip漏洞其实也是目录遍历的一种,通过应用程序解压恶意的压缩文件进行攻击。恶意攻击者通过构造一个压缩文件条目中带有…/的压缩文件,上传后交给应用程序进行解压。由于程序解压时没有对文件名进行合法性的校验,而是直接将文件名拼接在待解压目录后面,导致可以将文件解压到正常解压缩路径之外并覆盖可执行文件,从而等待系统或用户调用他们实现代码执行(也可能是覆盖配置文件或其他敏感文件)。
数字证书明文_数字证书的作用
weixin_39949673的博客
12-22 349
数字证书的作用主要分为以下三种:1.使用证书进行加密如果甲方要向乙方传送加密的信息,并且甲乙双方都有自己的数字证书,则传送过程如下:(1)甲方准备好信息(明文)传送给乙方。(2)甲得到乙的证书,并核实其有效后,用乙方的公钥加密信息(密文)。(3)乙方收到密文后,用证书对应的私钥对其解密,得到明文。如果明文数据量非常大,可与数字信封相结合的方式进行加密,即甲方只用公钥来加密一个对称密钥,再用对称密钥...
开发者需要关注的APP安全问题有哪些
RapidAppDev的博客
12-21 792
对于个人开发者或者某些小企业开发者而言,APP安全的始终是一件让人非常头疼的事情。下面我们从安全开发角度出发,进行梳理了一个APP需要关注的APP安全的问题。 一、应用安全 在开发APP过程中,不安全的代码编写方式和没有周全考虑到相应的安全性,从而给开发的APP带来一定的安全风险,那么应用安全这个最重要的安全需要关注哪些方面? 应用安全主需要关注:二进制安全、敏感数据安全、敏感资源安全、完整性安全、证书存储安全。这五个方面处理的好会一定程度提高APP安全性 1. 环境检测 环境检测主要关注点:
最全Android安全检测漏洞解决方案
热门推荐
weixin_40798907的博客
03-09 1万+
前言:APP安全检测通常在一些小型企业涉及的比较少,并且并不太关注这方面的问题。然而在一些大型互联网企业或者国企等等就非常在意这方面的安全问题,并且会有专门的人去对APK进行检测。本节我们一起学习在Android中大量的app漏洞应如何去避免或者修改。 一、基本应用信息 通常包括:应用名称、包名、文件大小、版本信息、文件MD5、签名信息、加固厂商、第三方SDK等。 二、安全漏洞检测项 加密算法和密码安全 1 、AES/DES加密算法不安全使用风险 2 、RSA加密算法不安全使用风险 安全防护能力 1、 Z
漏洞&修复规范描述
数据安全学习分享
08-07 1205
严重不安全系统高危不安全系统中危不安全系统低危不安全系统安全系统严重漏洞高危漏洞中危漏洞低危漏洞认证应用主机APP代码web 后台系统弱口令详情由于网站用户帐号存在弱口令,导致攻击者通过弱口令可轻松登录到网站中,从而进行下一步的攻击,例如上传 webshell,获取敏感数据,另外攻击者利用弱口令登录网站管理后台,可执行任意管理员的操作。造成的危害攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。修复建议用户层面系统层面ft
Android应用安全检测:问题与解决方案
"陈家林在MDCC 2015中国移动开发者大会上分享了关于Android应用安全检测的主题,探讨了Android应用中存在的安全问题及其解决方案。他提到了多种Android应用的典型安全问题,包括Activity暴露、Backup/Restore漏洞、...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值