Android静态安全检测 -> WebView忽略SSL证书错误检测

最新推荐文章于 2023-11-13 15:16:35 发布
最新推荐文章于 2023-11-13 15:16:35 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: Java security

ebView忽略SSL证书错误检测 -SslErrorHandler.proceed方法

一、API

 

1. 继承关系

 

【1】java.lang.Object

【2】android.os.Handler

【3】android.webkit.SslErrorHandler

 

2. 主要方法

 

【1】cancel( )

  停止加载问题页面

 

【2】proceed( )

  忽略SSL证书错误,继续加载页面

 

【3】其他方法

 

参考链接:http://www.apihome.cn/api/android/SslErrorHandler.html

 

二、触发条件

 

1. 调用SslErrorHandler类的proceed方法

 

【1】对应到smali语句中的特征:Landroid/webkit/SslErrorHandler;->proceed()V

 

2. 方法名:onReceivedSslError

 

三、漏洞原理

 

【1】Android WebView组件加载网页发生证书认证错误时,会调用WebViewClient类的onReceivedSslError方法,如果该方法实现调用了handler.proceed()来忽略该证书错误,则会受到中间人攻击的威胁,可能导致隐私泄露

 

【2】漏洞代码样例

 

【3】参考链接:http://wolfeye.baidu.com/blog/webview-ignore-ssl-error/

 

四、修复建议

 

【1】不调用android.webkit.SslErrorHandler的proceed方法

 

【2】当发生证书认证错误时,采用默认的处理方法SslErrorHandler.cancel(),停止加载问题页面

 

reprint:https://blog.csdn.net/u013107656/article/details/51728576

码到成功-
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python request https_pythonrequests库在https连接中引发错误
weixin_42525261的博客
01-28 442
在我的生产服务器中,突然pyhton请求库在与第三方应用程序建立https连接时抛出此错误。在raised unexpected: SSLError(SSLError(SSLError("bad ca_certs: '/home/ubuntu/.virtualenvs/api/local/lib/python2.7/site-packages/requests/cacert.pem'", Erro...
android webview签名,Android Webview SSL 自签名安全校验解决方案
weixin_39838231的博客
05-27 491
服务器证书校验主要针对 WebView安全问题。在 app 中需要通过 WebView 访问 url,因为服务器采用的自签名证书,而不是 ca 认证,使用 WebView 加载 url 的时候会显示为空白,出现无法加载网页的情况。使用 ca 认证的证书,在 WebView 则可以直接显示出来,不需要特殊处理。以往针对自签名证书的解决方案是继承 WebViewClient 重写 onReceiv...
android webview 加载https白屏,设置忽略证书
最新发布
无风全靠浪
11-13 4万+
注意要忽略 super.onReceivedSslError(view, handler, error);调用,否则会按照handler.cancel();// super中默认的处理方式,WebView变成空白页。//忽略证书错误继续加载页面内容,不会变成空白页面。
uniapp 微信小程序webview 踩坑
Raccon_的博客
08-31 5297
微信小程序的存在许多功能上的限制和约束,有些情况不得不去使用webview进行开发实现需求,比如原生无法满足(例如某团队维护SDK 只提供了WEB端jsSDK,且不维护小程序SDK)H5可以同时适用多端(适用范围更广)H5可以弥补小程序部分欠缺微信生态有部分限制(包大小,设计规范等)由于最近做的需求小程序不支持播放带有透明通道的视频,所以转到了webview这里总结下完整的开发流程和现有的各种解决方案: 开发阶段需要将不校验合法域名勾选上。
Android 漏洞修复
Android格调小窝
08-01 1475
由于系统没有限制已注册JAVA类的方法调用,因此未注册的其它任何JAVA类也可以被反射机制调用,这样可能导致被篡改的URL中存在的恶意代码被执行,用户手机被安装木马程序,发送扣费短信,通信录或者短信被窃取,甚至手机被远程控制。在金融类或者通讯类app中可能会导致重要信息被窃取。webviewClient中有onReceivedError方法,当出现证书校验错误时,我们可以在该方法中使用handler.proceed()来忽略证书校验继续加载网页,或者使用默认的handler.cancel()来终端加载。..
python 中遇到ssl报错的解决方法
西门大盗 捉虫专家
06-01 4191
大部分遇到ssl错误时,只要添加verify=False 即可,但是有时还是无法解决,那么,下面这样写,就能处理多种的ssl报错问题。 import requests requests.packages.urllib3.disable_warnings() #requests.packages.urllib3.disable_warnings(InsecureRequestWarning) ...
【Wikipedia爬虫工具包的使用】请求超时、代理错误SSLError
qq_44386955的博客
08-09 1632
https://github.com/goldsmith/Wikipedia使用该工具包爬取维基百科`TimeoutError;urllib3.exceptions.NewConnectionError;requests.exceptions.ConnectionError;requests.exceptions.ProxyError`
关于爬虫时遭遇SSLError错误的解决方法
sixcl的博客
04-19 2453
可以使用verify参数控制是否验证证书,如果将此参数设置为False,那么就不会出现上述问题,当然同时会出现另外一个问题就是警告我们要给它指定证书,这个时候可以。我们在进行一些爬虫小项目的时候,如果遇到对一些网站进行request请求时,会遇到SSLError错误,具体来说如下报错信息。也可以通过捕获到日志的方式忽略警告。可以指定一个本地证书用作客户端证书。那么我们有三种解决方法。
Android使用Webview SSL 自签名CA证书安全校验方案
jsxin0816的博客
11-18 2749
Android使用Webview SSL 自签名证书校验
android webview 跳过免费ssl证书验证
分享Android开发知识
03-20 1011
一、需求背景 当没有ssl证书的时候webview都会报错,因此可以绕过ssl证书验证。 二、代码实现 class CustomWebView extends WebViewClient { @Override public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) { //忽略ssl报错,继续处理 handler.proceed(); }
Android 安全--WebView不校验证书漏洞
编程圈子-谢厂节的博客
11-07 6295
继承关系java.lang.Object 继承者 android.os.Handler 继承者 android.webkit.SslErrorHandler问题方法cancel( )停止加载问题页面proceed( )忽略SSL证书错误,继续加载页面触发条件: 1. 调用SslErrorHandler类的proceed方法 【1】对应到smali语句中的特征:Landroid
WebView使用详解(二)——WebViewClient与常用事件监听
热门推荐
启舰
05-28 8万+
前言:生活的艰难,更会激发对梦想的渴望,但艰难的生活却往往会成为梦想的绊脚石 相关文章:1、《WebView使用详解(一)——Native与JS相互调用(附JadX反编译)》2、《WebView使用详解(二)——WebViewClient与常用事件监听》3、《WebView使用详解(三)——WebChromeClient与LoadData补充》 上篇给大家简单讲了Webview中Na...
关于安卓开发webview与js交互的问题
qklnmc的博客
02-23 471
前段时间开发项目,用到了webview和js的交互,我这边只是实现了APP接受js返回的信息,废话不多说直接上代码。 WebView wbReportContent = (WebView) findViewById(R.id.wbReportContent); wbReportContent.setWebViewClient(new WebViewClient() { @O
webviewSSl证书问题
Z_Try的博客
09-14 522
webviewssl证书问题显示空白页
Android中的HTTPS问题
大前端程序员的自我修养
07-09 2450
Android中涉及HTTPS最多的两个地方:一个是WebView,一个是OKHttp。在开发调试阶段,我们的CA证书往往并不是正式,这样就会发生WebVIew显示不了HTTPS页面,OKHttp访问不了HTTPS接口的问题。本文主要介绍了这两个问题产生的原因以及如何解决。
Android webview在https下实现ssl的双向认证
zx的博客
12-02 4419
这篇文章的重点是实现SSL证书双向认证,包含: a.生成客户端与服务端证书。 b.搭建支持Https的服务器。 c.实现webview的双向证书认证。
android访问网页失败提示错误代码,Android中访问证书有问题的SSL网页的方法
weixin_39831239的博客
05-26 401
PC上的浏览器会弹出证书错误的对话框,提示你是否要无视错误继续浏览。实际上在WebView里也可以这样做,以实现加载证书有问题的页面。代码如下:WebView webview = (WebView) findViewById(R.id.webview);webview.setWebViewClient(new WebViewClient() {@Overridepublic void onRece...
服务器调用https缺少证书,Https自定义证书引入问题(2)
weixin_29454359的博客
07-31 1669
上一篇介绍接口使用https并且证书是自签的情况下,如何在客户端信任服务器证书,没有看过的请移步1.Webview加载https问题1.1 最简单的方式,助各位大佬一秒脱坑自定义证书的https地址在加载时会进入onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) 方法,前提是自定义webviewClie...
mainframe= ui->webView->page()->mainFrame();作用
05-31
具体来说,ui->webView是一个QWebView对象的指针,它是通过Qt Designer创建的用户界面中的一个Web浏览器控件,用于显示Web页面。通过调用ui->webView的page()方法可以获取到QWebPage对象的指针,QWebPage是QWebView...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值