Android HTTPS安全漏洞分析

最新推荐文章于 2023-04-10 18:09:32 发布
最新推荐文章于 2023-04-10 18:09:32 发布
阅读量986 收藏 1
点赞数
分类专栏: Android 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hongxue8888/article/details/71480842
版权

在开发中,涉及敏感信息的传输我们都会使用HTTPS协议来和服务端进行安全的通信,但如果在实现时对HTTPS相关的API没有全面的掌握,导致代码编写中出现很多安全漏洞,其中以数字证书的使用最为典型,从而导致中间人攻击。

漏洞的形式主要有如下三种:

  • 1.自定义X509TrustManager未实现安全校验
  • 2.自定义HostnameVerifier默认接受所有域名
  • 3.SSLSocketFactory信任所有证书

1.自定义X509TrustManager未实现安全校验

使用HttpURLConnection发起HTTPS请求时,需要提供一个自定义的X509TrustManager。如果实现不当,可能引入安全问题,如下所示是存在风险的代码。

import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import javax.net.ssl.X509TrustManager;

public class HxHTTPSTrustManager implements X509TrustManager {
    @Override
    public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        //默认接受任意的客户端证书
    }

    @Override
    public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        //默认接受任意的服务端证书
    }

    @Override
    public X509Certificate[] getAcceptedIssuers() {
        return new X509Certificate[0];
    }
}

Android系统的共享证书机制规定,如果目标URL服务器下发的证书不在已信任证书列表中,或者该证书不是权威机构颁发的而是自签名的,那么会出现SSLHandshakeException异常。正确的做法应该是提供与服务器对应的证书,并进行校验,语句如下。

未完。。。。

傅晨明
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AndroidHTTPS“中间人攻击”分析与防御
sinat_36955332的博客
11-30 1200
一、HTTPS的作用 1、 认证服务端与服务器,确保相互之间的信任关系。 2、 加密数据,防止泄露。 3、 验证数据完整性,防止篡改。 二、 HTTPS工作原理 我们这里所关注的Https工作原理,主要指的是SSL协议的握手流程; HTTP +加密+认证+完整性保护=HTTPSHTTPS是身披SSL外壳的HTTP;HTTPS并非是应用层的一种新协议,而是HTTP通信接口部分用SSL协议代替,通信时,HTTP先和SSL通信,再由SSL与TCP通信。 HTTPS采用对称加密和非对称加密两种加密机制
Android安全之Https中间人攻击漏洞
weixin_34270865的博客
09-19 279
Android安全之Https中间人攻击漏洞 0X01概述 HTTPS,是一种网络安全传输协议,利用SSL/TLS来对数据包进行加密,以提供对网络服务器的身份认证,保护交换数据的隐私与完整性。中间人攻击,Man-in-the-middleattack,缩写:MITM,是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使...
黑帽大会:HTTPSSSL协议存在安全漏洞
weixin_34137799的博客
09-24 395
HTTPS(安全HTTP)和SSL/TLS(安全套接层/传输层安全)协议是Web安全和可信电子商务的核心,但Web应用安全专家Robert "RSnake" Hansen和Josh Sokol在昨天的黑帽大会上宣布,Web浏览器的基础架构中存在24个危险程度不同的安全漏洞。这些漏洞基本上使HTTPSSSL能够提供的浏览器保护荡然无存。 HTTPS对HTTP协议进行了加密,以保护用户的页面请求...
HTTPS的重大漏洞:豆腐(TOFU)
全栈空间
05-25 7884
“豆腐”漏洞简介 之前写了一篇https的介绍,这里,文中从软件学公理一步步推导出https的实现原理,但是貌似在后面一部分出现了某种概念断层,就是在“服务器如何认证浏览器”这一点上没有安全的保证。后来仔细研究了一下,原来并不是因为我的知识盲区,而是https确实有一个漏洞。 先放出结论,TOFU漏洞如图所示: 首先需要理解https和ssh的区别。 HTTPS = SSH + ...
android HTTPS未校验服务器证书漏洞修复
kyzycyey的专栏
04-10 1891
上述代码是重写了域名校验的逻辑,每个证书里携带的域名是不可更改的,如果证书是合法的证书签发机构签发的,并且域名是和你要请求的域名对的上的,基本上就能确认你访问就服务器地址就是要访问的服务器地址,这样才是安全的。上述代码就是重新了证书校验的逻辑,信任所有的证书,正确的逻辑是要校验证书是否是可信任的证书签发机构所认证的,如果不校验的话你虽然是用了https加密传输,只要你的客户端用户信任了其他的证书哪怕是非法的证书,一样能够请求通过,而这个证书的服务器就可以解密你的报文,拿到你的隐私信息了。
Android软件安全与逆向分析_带书签_Android软件安全与逆向分析_带书签_android_
09-29
四、安全漏洞分析 1. SQL注入与XSS攻击:讨论Android应用如何防止SQL注入和跨站脚本攻击,确保数据安全。 2. 漏洞利用:分析常见安全漏洞如缓冲区溢出、整数溢出、权限提升等,并探讨其修复策略。 3. 应用签名与证书...
android操作系统浏览器安全漏洞
12-11
本文主要探讨了Android浏览器的安全漏洞,特别是集中在WebView组件上,这是许多Android应用用于展示网页内容的关键部分。 WebKit是Android浏览器的核心,它是一个开源的Web渲染引擎,负责处理HTTP、HTTPS、FTP协议...
Android安全性分析
02-20
5. **静态代码审计**:使用静态代码分析工具,如Androguard、dex2jar和JD-GUI,进一步检查反编译的Java代码,查找可能的安全漏洞和恶意行为。 6. **动态分析**:在虚拟机或真实设备上运行应用,通过监控网络流量、...
Android应用安全实战:Frida协议分析.docx
最新发布
09-13
Frida 协议是一种非常强大的工具,能够帮助开发人员深入了解 Android 应用安全实战中的 Frida 协议分析,检测和修复安全漏洞,提高 Android 应用的安全性。因此,Frida 协议在 Android 应用安全领域中的应用前景非常...
Android应用安全检查解决方法.zip
03-22
使用静态代码分析工具,如Android Lint,进行安全漏洞扫描。`Android Studio`内置了Android Lint,它会检查代码中可能存在的问题,包括资源泄漏、不安全的网络请求等。 五、安全编程实践 遵循安全编码规范,如避免...
浅谈https与主机名验证
11-29
浅谈https与主机名验证,轻松搞定私钥验证
部分Android App带有严重的SSL漏洞
Somnusxyb的专栏
10-22 680
来自两所德国大学的研究团队最近发布一项研究声称,在Google Play Store提供的最流行的免费APP应用程序中,许多都可能带有导致man-in-the-middle(MITM)攻击的漏洞,这将严重威胁到用户隐私。   来自汉诺威和马尔堡大学的专家们对Play store 中13500个最流行的免费软件进行了SSL和TLS漏洞研究。他们发现,1074个app程序包含SS
Android平台https嗅探劫持漏洞
LVXIANGAN的专栏
03-19 4250
去年国内某机构网络安全中心在日常终端安全审计中发现,在Android 平台中使用 https 通讯的 app 绝大多数都没有安全的使用google 提供的 API,直接导致 https 通讯中的敏感信息泄漏甚至远程代码执行。 究其原因,开发者在使用代码开发测试自己产品的 https 功能时,会因无法通过 google API 的 https 证书合法性而发生多种类型的 h
Android HTTPS中间人劫持漏洞浅析
weixin_41508948的博客
08-29 273
Android HTTPS中间人劫持漏洞描述 在密码学和计算机安全领域中,中间人攻击 ( Man-in-the-middle attack,通常缩写为MITM )是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。 Andro...
Android安全问题--漏洞及解决方案
我的专栏
12-02 2769
1. 程序可被任意调试 风险描述 安卓AndroidManifest.xml文件中android:debuggable为true。 危害描述 app可以被任意调试。 修复建议 AndroidManifest.xml 配置文件中中设置为android:Debugable=”false”。 参考链接 https://developer.android.com/guide/topics/m...
android未验证,主机名未通过验证ANDROID
weixin_36313588的博客
05-29 300
我正在使用kso??ap lib调用webservice.在某些情况下,服务运行正常,但在某些情况下,它给出的主机名未通过验证以下是我用于调用网络服务的代码.HttpTransportSE httpTransport = new HttpTransportSE(URL, MessageConstant.TIMEOUT_TIME);httpTransport.debug = true; // thi...
【担心黑客WIFI窃取用户隐私信息】Android HTTPS中间人劫持漏洞浅析
weixin_33772645的博客
03-18 274
1. Android HTTPS中间人劫持漏洞描述 在密码学和计算机安全领域中,中间人攻击 ( Man-in-the-middle attack,通常缩写为MITM )是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻...
Android5.0以下手机通过https请求服务器报SSLException异常的原因及解决方案
江户川米兰的博客
07-11 7473
问题描述:    最近突然收到了测试组提的bug,说是部分手机打开APP的时候会报服务器连接异常。然后我就用我的手机试了下,发现没有问题。然后用他们在缺陷描述中写的测试机型和系统版本进行了测试。发现确实会报服务区连接异常。然后通过本地调试,发现网络请求的时候报了如下异常:该异常为SSL握手失败,但是为什么有的手机可以成功有的手机又失败了呢。然后又试了下其他版本的手机,发现Android5.0以下系...
Android静态安全检测 -> 证书弱校验
热门推荐
4lwin博客
07-29 1万+
证书弱校验 - X509TrustManager.checkServerTrusted方法 1. API 继承关系 javax.net.ssl.X509TrustManager public interface X509TrustManager implements TrustManager 主要方法
Android安全审计与漏洞修复深度解析:策略与工具应用
高级审计技术则包括HOOK(对关键函数进行干预)和DEBUG(动态调试)等手段,以定位和修复安全漏洞。 本文详细讲解了Android软件安全审计的关键步骤和技巧,旨在帮助开发者和安全专业人员更好地理解和应对Android...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值