Https证书校验不当引起的安全问题

最新推荐文章于 2024-06-15 15:42:13 发布
最新推荐文章于 2024-06-15 15:42:13 发布
阅读量1.3w 收藏 8
点赞数 7
分类专栏: http android 文章标签: android 安全 webview https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hubert_bing/article/details/55258280
版权

1. 使用Webview进行HTTPs通信

Android系统内置了一些可信机构办法的证书,可用于作HTTPs证书校验。实际上,使用Webview组件进行HTTPs通信,其证书验证环节也是系统默认会去做的。若发现证书不合法,Webview将显示一个空白页面,其错误在onReceivedSslError()这个方法里进行处理。使用Webview进行HTTPs通信应当遵循如下安全规范:
1) onReceivedSslError()方法里不能简单地用proceed()方法进行处理,建议给用户一定的提示(如“SSL证书错误,是否继续连接”等)。
这里给出错误的代码示例。

public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error){
    // 只简单地调用proceed()方法,忽略证书错误问题
    paramSslErrorHandler.proceed();
}

一般来说,使用Webview连接带有可信机构颁发证书的HTTPs站点,onReceivedSslError()方法里无需作任何处理(系统默认是拒绝连接的),这里给出正确的示例代码。

public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error){
    // Do nothing
    // 效果同 paramSslErrorHandler.cancel();
}

2. X509TrustManager

X509TrustManager用于实现SSL证书的安全校验,若使用不当,将导致APP对SSL证书不作校验,从而使黑客有了中间人攻击的可乘之机。开发者经常犯的错误有如下:
 自定义X509TrustManager,且不做任何校验逻辑,一般为空实现;
这里给出常见的自定义X509TrustManager的错误示例代码(以使用HttpsURLConnection进行HTTPs连接的情况为例)。

SSLContext localSSLContext = SSLContext.getInstance("TLS");
TrustManager[] arrayOfTrustManager = new TrustManager[1];
// 自定义X509TrustManager
arrayOfTrustManager[0] = new MyTrustManager();
localSSLContext.init(null, arrayOfTrustManager, new SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(localSSLContext.getSocketFactory());
HttpsURLConnection localHttpsURLConnection = (HttpsURLConnection) new
URL(paramString).openConnection();
……
class MyTrustManager implements X509TrustManager{
    // 不作任何校验
  public void checkClientTrusted(X509Certificate[] paramArrayOfX509Certificate, String paramString) {}
        // 不作任何校验
    public void checkServerTrusted(X509Certificate[] paramArrayOfX509Certificate, String paramString) {}
    // 返回null
    public X509Certificate[] getAcceptedIssuers(){
        return null;
    }
}

使用上述方式进行HTTPs通信,将存在中间人攻击的可能。由于缺乏证书校验机制,黑客可以通过使用自签名证书,结合DNS欺骗,使用户访问恶意页面。因此,使用HttpsURLConnection或HttpClient进行HTTPs通信时,需要验证证书的合法性。这里把HTTPs站点作分类:
A. 带有可信机构颁发证书的HTTPs站点;
B. 带有自签名证书的HTTPs站点。
对于A类站点,可借助Android系统自带的证书校验机制,开发者无需自己实现任何代码;对于B类站点,则需要把证书文件内置到apk中,根据证书keystore得到用于校验证书内容的TrustManager,并设置在SSLContext当中。
使用HttpsURLConnection或HttpClient进行HTTPs通信,需要遵循如下安全规范:
1) 访问A类站点时,不要自定义X509TrustManager;
2) 访问B类站点时,把证书文件打包到apk中,并根据证书的keystore生成TrustManager。
这里给出使用HttpsURLConnection访问A类站点时的示例代码。

SSLContext localSSLContext = SSLContext.getInstance("TLS");
// 不要自定义X509TrustManager
localSSLContext.init(null, null, new SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(localSSLContext.getSocketFactory());
HttpsURLConnection localHttpsURLConnection = (HttpsURLConnection) new
URL(paramString).openConnection();
这里给出使用HttpsURLConnection访问B类站点时的示例代码。
// 根据证书文件生成keystore
private KeyStore certTrusted(Context context) throws Exception {
    // 从资源文件中获取.cer证书文件
       AssetManager am = context.getAssets();
       InputStream ins = am.open("12306.cer");
       try {
              // 读取证书
              CertificateFactory cerFactory = CertificateFactory.getInstance("X.509");
              java.security.cert.Certificate cer = cerFactory.generateCertificate(ins);
              // 创建一个证书库,并将证书导入证书库
              KeyStore keyStore = KeyStore.getInstance("PKCS12", "BC");
              keyStore.load(null, null);
              keyStore.setCertificateEntry("12306", (java.security.cert.Certificate) cer);
              return keyStore;
       } finally {
              ins.close();
       }
}
……
// 获取keystore
KeyStore keystore = certTrusted(this);
SSLContext sc = SSLContext.getInstance("TLS");
// 根据keystore初始化TrustManagerFactory
String algorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(algorithm);
tmf.init(keystore);
// 得到设置好的TrustManager,初始化SSLContext
sc.init(null, tmf.getTrustManagers(), new SecureRandom());
// 注意这里的SSLSocketFactory是javax.net.ssl包中的
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
HttpsURLConnection conn = (HttpsURLConnection) new URL(paramString).openConnection();
……

使用HttpClient与HttpsURLConnection略有不同,简单来说,HttpClient中使用到的SSLSocketFactory是org.apache.http.conn.ssl包中的,并非java原生的。
下面给出使用HttpClient连接A类站点的示例代码。
首先,实现MySSLSocketFactory类:

import java.io.IOException;
import java.net.Socket;
import java.net.UnknownHostException;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.UnrecoverableKeyException;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManagerFactory;
// 注意这里的SSLSocketFactory是org.apache.http.conn.ssl包中的
import org.apache.http.conn.ssl.SSLSocketFactory;

public class MySSLSocketFactory extends SSLSocketFactory {
           SSLContext sslContext = SSLContext.getInstance("TLS");
           public MySSLSocketFactory(KeyStore truststore) throws
NoSuchAlgorithmException,KeyManagementException,
KeyStoreException, UnrecoverableKeyException {
              super(truststore);
              sslContext.init(null, null, new SecureRandom());
       }

       @Override
       public Socket createSocket(Socket socket, String host, int port, boolean autoClose)
                     throws IOException, UnknownHostException {
              return sslContext.getSocketFactory().createSocket(socket, host, port, autoClose);
       }

       @Override
       public Socket createSocket() throws IOException {
              return sslContext.getSocketFactory().createSocket();
       }
}

然后,再实现MyHttpClient类:

import java.security.KeyStore;
import org.apache.http.HttpVersion;
import org.apache.http.client.HttpClient;
import org.apache.http.conn.ClientConnectionManager;
import org.apache.http.conn.scheme.PlainSocketFactory;
import org.apache.http.conn.scheme.Scheme;
import org.apache.http.conn.scheme.SchemeRegistry;
import org.apache.http.conn.ssl.SSLSocketFactory;
import org.apache.http.impl.client.DefaultHttpClient;
import org.apache.http.impl.conn.tsccm.ThreadSafeClientConnManager;
import org.apache.http.params.BasicHttpParams;
import org.apache.http.params.HttpConnectionParams;
import org.apache.http.params.HttpParams;
import org.apache.http.params.HttpProtocolParams;
import org.apache.http.protocol.HTTP;

public class MyHttpsClient {
       private static final int SET_CONNECTION_TIMEOUT = 50 * 1000;
       private static final int SET_SOCKET_TIMEOUT = 200 * 1000;

       public static HttpClient getNewHttpClient() {
              try {
             // 获取系统默认的KeyStore对象
                     KeyStore trustStore = KeyStore.getInstance(KeyStore
                                   .getDefaultType());
             // 使用系统默认的KeyStore对象初始化SSLSocketFactory
             // 注意这里的SSLSocketFactory是org.apache.http.conn.ssl中的
                     SSLSocketFactory sf = new MySSLSocketFactory(trustStore);

                     HttpParams params = new BasicHttpParams();

                     HttpConnectionParams.setConnectionTimeout(params, 60000);
                     HttpConnectionParams.setSoTimeout(params, 60000);

                     HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);
                     HttpProtocolParams.setContentCharset(params, HTTP.UTF_8);

                     SchemeRegistry registry = new SchemeRegistry();
                     registry.register(new Scheme("http", PlainSocketFactory
                                   .getSocketFactory(), 80));
            // 注意为https协议绑定之前定义的SSLSocketFactory对象
                     registry.register(new Scheme("https", sf, 443));

                     ClientConnectionManager ccm = new ThreadSafeClientConnManager(
                                   params, registry);

                     HttpConnectionParams.setConnectionTimeout(params,
                                   SET_CONNECTION_TIMEOUT);
                     HttpConnectionParams.setSoTimeout(params, SET_SOCKET_TIMEOUT);
                     HttpClient client = new DefaultHttpClient(ccm, params);

                     return client;
              } catch (Exception e) {
                     return new DefaultHttpClient();
              }
       }
}

最后,使用下面的代码访问A类站点:

HttpClient hc = MyHttpsClient.getNewHttpClient();
HttpGet hg = new HttpGet(httpsURL);
HttpResponse response = hc.execute(hg);

最后,使用下面的代码访问B类站点:

// 根据证书文件生成keystore
private KeyStore certTrusted(Context context) throws Exception {
    // 从资源文件中获取.cer证书文件
       AssetManager am = context.getAssets();
       InputStream ins = am.open("12306.cer");
       try {
              // 读取证书
              CertificateFactory cerFactory = CertificateFactory.getInstance("X.509");
              java.security.cert.Certificate cer = cerFactory.generateCertificate(ins);
              // 创建一个证书库,并将证书导入证书库
              KeyStore keyStore = KeyStore.getInstance("PKCS12", "BC");
              keyStore.load(null, null);
              keyStore.setCertificateEntry("12306", (java.security.cert.Certificate) cer);
              return keyStore;
       } finally {
              ins.close();
       }
}
……
// 获取keystore
KeyStore keystore = certTrusted(this);
// keystore对象作为getNewHttpClient的参数
HttpClient hc = MyHttpsClient.getNewHttpClient(keystore);
HttpGet hg = new HttpGet(httpsURL);
HttpResponse response = hc.execute(hg);
……

3. HostnameVerifier

HostnameVerifier用于实现HTTPs通信中的域名安全校验,即验证当前连接的HTTPs站点的SSL证书中的域名是否等于站点本身的域名。若使用不当,将导致APP对域名不作校验,从而使黑客有了中间人攻击的可乘之机。开发者经常犯的错误有如下:
 自定义HostnameVerifier,且不做任何校验逻辑,一般为return true;
 使用Android系统中自带的不安全的HostnameVerifier,效果等同于不做任何校验逻辑:
 org.apache.http.conn.ssl.AllowAllHostnameVerifier
 org.apache.http.conn.ssl.SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER
这里给出常见的自定义HostnameVerifier的错误示例代码(以使用HttpsURLConnection进行HTTPs连接的情况为例)。

// 自定义HostnameVerifier
HttpsURLConnection.setDefaultHostnameVerifier(new MyHostnameVerifier());
HttpsURLConnection localHttpsURLConnection = (HttpsURLConnection) new
URL(paramString).openConnection();
……
class MyHostnameVerifier implements HostnameVerifier {
       @Override
    // 不作任何校验
       public boolean verify(String arg0, SSLSession arg1) {
              return true;
       }
}

这里给出使用Android系统中自带的不安全的HostnameVerifier的错误示例代码(以使用HttpsURLConnection进行HTTPs连接的情况为例)。

URL url = new URL("https://www.example.com/");
HttpsURLConnection urlConnection = (HttpsURLConnection) url.openConnection();
urlConnection.setHostnameVerifier(org.apache.http.conn.ssl.SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
InputStream in = urlConnection.getInputStream();

使用上述方式进行HTTPs通信,将存在中间人攻击的可能。由于缺乏域名校验机制,黑客可以通过使用自签名证书,结合DNS欺骗,使用户访问恶意页面。因此,使用HttpsURLConnection或HttpClient进行HTTPs通信时,需要验证域名的合法性。
使用HttpsURLConnection或HttpClient进行HTTPs通信,需要遵循如下安全规范:
1) 不要自定义HostnameVerifier;
2) 不要使用如下Android系统中自带的不安全HostnameVerifier:
 org.apache.http.conn.ssl.AllowAllHostnameVerifier
 org.apache.http.conn.ssl.SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER
3) 使用Android系统中自带的安全HostnameVerifier:
 org.apache.http.conn.ssl.SSLSocketFactory.STRICT_HOSTNAME_VERIFIER
这里给出安全的HostnameVerifier的示例代码。

URL url = new URL("https://www.example.com/");
HttpsURLConnection urlConnection = (HttpsURLConnection) url.openConnection();
urlConnection.setHostnameVerifier(org.apache.http.conn.ssl.SSLSocketFactory.STRICT_HOSTNAME_VERIFIER);
InputStream in = urlConnection.getInputStream();
Hubert__
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决HostnameVerifier警告
Alrey的博客
09-24 5426
前言 今天邮箱收到一封官方的邮件,关键内容如下 一个HostnameVerifier警告,说限期不修复就会下架 Help Center 解决方案 如果你和我一样不知道HostnameVerifier是个什么东西,且确认自己没有用过这玩意儿,且项目里也没有这个东西(建议全局搜索一下HostnameVerifier),那么就能确定这个警告肯定是由于第三方库所引发的,这就需要你到你谷歌应用控制台去看看警告的详情信息(一般会在提醒列表里),google一般会告诉你是那个类触发了这个警告 查看谷歌控制台后,看到了如
WebView的onReceivedSslError()方法
lyl0530的博客
01-20 1万+
Android应用中WebView访问https SSL证书网页时,Google Play 总是报 WebView 的 onReceivedSslError 错误。为避免谷歌安全警告,要重写WebView的onReceivedSslError方法,此时要弹框提示用户,是否忽略SSL错误,继续访问网页。 @Override public void onReceivedSslError(WebVi...
HTTPS站点不安全SSL证书不做背锅侠
huitest的博客
02-18 2462
SSL证书在保护网站数据传输上起到了至关重要的作用,它的存在让网站访问者在访问浏览器时留下的信息和数据不被窃取、篡改和监听,让访客们访问网站时非常放心、非常安心,使网站由明文传输式的http变成数据加密的https站点。但是用户们却发现,在访问一部分https站点时,浏览器依旧会提示不安全,难道是 SSL证书问题吗,是不是 SSL证书已经不能很好地保护我们的安全了呢?环度小编总结了以下几方面的原因。 1,SSL证书与网站域名不匹配 这种情况通常是您申请的SSL证书书类型与域名不匹配,如果您个人网站申请
SpringBoot -----从入门到精通-----
最新发布
weixin_65219195的博客
06-15 933
Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的领域(rapid application development)成为领导者。SpringBoot基于Spring4.0设计,不仅继承了Spring框架原有的优秀特性,而且还通过简化配置来进一步简化了Spring应用的整个搭建和开发过程。
你并不在意的 HTTPS 证书吊销机制,或许会给你造成灾难性安全问题
涛哥聊Python
02-01 2067
鼠年大吉HAPPY 2020'S NEW YEAR来源:安全客地址:https://url.cn/5WvQjVs本文仅作学术分享,若侵权,请联系后台删文处理缘起偶刷《长安十二时辰...
Android webView加载成功与失败回调,重新加载,onReceivedError、onReceivedSslError、onPageFinished、onProgressChanged
热门推荐
qq_37980878的博客
10-20 1万+
webView提供了多种网页加载的回调 1.onPageStarted 开始加载 2.onPageFinished 加载完成 3.onReceivedError 加载失败 4.onReceivedSslError 加载证书错误网页失败 5.onProgressChanged 网页加载进度 一、加载证书错误网页 如果是证书错误的网页,比如www.baidu123.com,在window浏览器上打开后显示如下提示的网页,是不会调用onReceiv...
ssl证书合并_APP优雅进行SSL证书校验——(一)服务器篇
weixin_39738273的博客
12-05 540
前言本方案不会导致证书更换时候APP停服。因为:APP不做证书完整校验。只做公钥校验;服务器续费证书时候,不更换私钥,所以公钥不变动;客户端可以继续认可新版证书。本方案的收益:证书可以续费,可以和WEB端业务走同一个域名。APP一旦走了抓包(HTTPS的抓包),将会产生一个临时证书,与内置的公钥摘要不匹配,将会直接报错。很大程度上保证了APP的API请求不被截获篡改。再结合一些混淆服务,让dex文...
https证书校验方法
12-09
总之,HTTPS证书校验在OkHttp中是一个关键的安全环节,它涉及到服务器身份的确认和数据的保护。开发者需要根据具体的业务需求和安全策略,定制合适的`TrustManager`和`HostnameVerifier`,确保在保障通信安全的同时...
httpclient 绕开HTTPS证书校验
07-05
然而,在某些特殊情况下,如进行测试、调试或者处理自签名证书的服务器,我们可能需要绕过HTTPS证书校验。这时,`httpclient`库提供了一种解决方案,允许我们以非标准方式配置客户端,从而忽略证书校验错误。 `...
Android webview手动校验https证书(by 星空武哥)
08-29
Webview加载HTTPS地址时,如果遇到证书问题,系统会调用`onReceivedSslError()`方法。默认情况下,`super.onReceivedSslError()`会取消加载,使得页面呈现白屏。开发者可以覆盖此方法并调用`handler.proceed()`来...
配置HTTPS证书校验1
08-08
本文将深入探讨如何配置HTTPS证书校验,以解决Manager REST请求时遇到的证书校验问题。 首先,当Manager REST请求通过HTTPS进行时,浏览器会检查服务器的数字证书来验证其身份。如果证书不受信任或者过期,浏览器会...
Android SSL证书验证原理
08-25
Android SSL验证原理
Android webview加载https链接错误或无响应的解决
08-19
主要介绍了Android webview加载https链接错误或无响应的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Android证书有效性验证方案
我的专栏
09-30 3238
SSL劫持攻击: 目前虽然很多Android APP使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息,攻击示意图如下:
2020-08-24问题待解决:Java.lang.NoSuchFieldError: No static field INSTANCE of type
Hogwarts
08-24 1361
依赖了一个第三方的包 implementation 'org.cups4j:cups4j:0.7.6' 这个包又去依赖了一个HttpClient包 <dependency> <groupId>org.apache.httpcomponents</groupId> <artifactId>httpclient</artifactId> <version>4.5.2</version&gt
Android通信安全HTTPS
2301_78835635的博客
11-11 2139
在使用HttpsURLConnection发起 HTTPS 请求的时候,提供了一个自定义的X509TrustManager,未实现安全校验逻辑,下面片段就是当时新浪微博 sdk 内部的代码片段。如果不提供自定义X509TrustManager,代码运行起来可能会报异常(原因下文解释),初学者就很容易在不明真相的情况下提供了一个自定义的X509TrustManager,却忘记正确地实现相应的方法。本文重点介绍这种场景的处理方式。//do nothing,接受任意客户端证书
WebView加载https页面不能正常显示,空白一片
zhan10001的博客
03-22 2809
 在使用WebView加载https资源文件时,如果认证证书不被Android认可,那么会出现无法成功加载对应资源问题。那么,我们就要针对这一状况作出对应的处理。在使用WebView的类中添加如下代码:// android 5.0以上默认不支持Mixed Content if (Build.VERSION.SDK_INT &gt;= Build.VERSION_CODES.LOLLIPOP) { ...
webviewSSl证书问题
Z_Try的博客
09-14 508
webviewssl证书问题显示空白页
服务器调用https缺少证书,Https自定义证书引入问题(2)
weixin_29454359的博客
07-31 1655
上一篇介绍接口使用https并且证书是自签的情况下,如何在客户端信任服务器证书,没有看过的请移步1.Webview加载https问题1.1 最简单的方式,助各位大佬一秒脱坑自定义证书https地址在加载时会进入onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) 方法,前提是自定义webviewClie...
https 证书校验流程
06-08
HTTPS证书校验流程一般如下: 1. 客户端向服务器发送HTTPS请求。 2. 服务器返回证书,包含公钥。 3. 客户端验证证书的有效性,包括以下步骤: a. 验证证书是否过期。 b. 验证证书是否被吊销。 c. 验证证书...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值