【Android安全】https安全:HostnameVerifier

已于 2023-04-06 04:15:55 修改
阅读量3.3k 收藏 3
点赞数
分类专栏: 安卓安全 文章标签: android 安全 https
于 2022-10-05 23:33:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39441603/article/details/127178394
版权

HostnameVerifier接口

HostnameVerifier的作用

HostnameVerifier接口用于验证 当前已建立的连接的hostname(参数一)和连接的SSLSession(参数二)的证书是否匹配。
其目的是防止中间人攻击。

HostnameVerifier的定义

HostnameVerifier接口定义如下:

 public abstract interface HostnameVerifier
 {
   public abstract boolean verify(String paramString, SSLSession paramSSLSession);
 }

仅一个方法,参数paramString为当前connection的hostname;参数paramSSLSession是当前connection的SSLSession,可以从中获取到证书列表。

verify方法的默认实现如下:

@Override
    public boolean verify(final String host, final SSLSession session) {
        try {
            final Certificate[] certs = session.getPeerCertificates();
            final X509Certificate x509 = (X509Certificate) certs[0];
            verify(host, x509);
            return true;
        } catch (final SSLException ex) {
            if (log.isDebugEnabled()) {
                log.debug(ex.getMessage(), ex);
            }
            return false;
        }
    }

verify方法可以由app开发者自行实现。如果实现不恰当,例如永远返回true,则有安全风险。

反例:
HostnameVerifier hnv=new HosernameVerifier(){
  @Override
  public boolean verify(String hostname,SSLSession session){
      return ture;
  }
}

正例:
HostnameVerifier hnv=new HosernameVerifier(){
@Override
public boolean verify(String hostname,SSLSession session){
    if("youhostname".equals(hostname)){
        return true;
    }else{
          HostnameVerifier        hv=HttpsURLConnection.getDefaultHostnameVerifier();
         return hv.verify(hostname,session);
          }
  }
}

参考:
如何解决 HostnameVerifier 不安全的问题?
https://blog.csdn.net/u010358168/article/details/83548639

Java的HostnameVerifier
https://www.jianshu.com/p/ad4c7ce94518

https://www.cnblogs.com/yufecheng/p/10968045.html
https://www.jianshu.com/p/ad4c7ce94518

Jouzzy
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决HostnameVerifier警告
Alrey的博客
09-24 5429
前言 今天邮箱收到一封官方的邮件,关键内容如下 一个HostnameVerifier警告,说限期不修复就会下架 Help Center 解决方案 如果你和我一样不知道HostnameVerifier是个什么东西,且确认自己没有用过这玩意儿,且项目里也没有这个东西(建议全局搜索一下HostnameVerifier),那么就能确定这个警告肯定是由于第三方库所引发的,这就需要你到你谷歌应用控制台去看看警告的详情信息(一般会在提醒列表里),google一般会告诉你是那个类触发了这个警告 查看谷歌控制台后,看到了如
java hostnameverifier_关于HostnameVerifier接口的解读
weixin_31315007的博客
02-26 1693
在项目中我们需要调用https接口请求。我们使用httpClient,构建HttpClient对象时涉及到使用HostnameVerifier接口实例。HostnameVerifier接口定义如下:1 public abstract interfaceHostnameVerifier2 {3 public abstract booleanverify(String paramString, S...
Android通信安全HTTPS
最新发布
2301_78835635的博客
11-11 2143
在使用HttpsURLConnection发起 HTTPS 请求的时候,提供了一个自定义的X509TrustManager,未实现安全校验逻辑,下面片段就是当时新浪微博 sdk 内部的代码片段。如果不提供自定义X509TrustManager,代码运行起来可能会报异常(原因下文解释),初学者就很容易在不明真相的情况下提供了一个自定义的X509TrustManager,却忘记正确地实现相应的方法。本文重点介绍这种场景的处理方式。//do nothing,接受任意客户端证书。
如何解决 HostnameVerifier安全的问题?
热门推荐
小洋人最happy的专栏
10-31 3万+
问题引入 App提交Google Play时,审核被拒,打回,信息如下: 本文面向的是在应用中采用不安全HostnameVerifier 接口实施方式的开发者。在与使用 [setDefaultHostnameVerifier](https://docs.oracle.com/javase/7/docs/api/javax/net/ssl/HttpsURLConnection.html#set...
Andriod中HTTPS安全使用
nextdoor6的博客
09-28 964
中间人攻击 1.java中ssl/stl的使用 https即http+ssl/stl组成的网络安全传输协议,目的是防止数据在传输的过程中产生信息泄露或篡改。 https在正确使用的时候是可以防止中间人攻击的,当时由于开发者在开发过程中编码不正确导致https 的错误使用,以至于攻击者可以获取或修改https传输的数据。 Android https的开发过程中常见的
关于HostnameVerifier接口的解读
weixin_30858241的博客
06-03 2086
在项目中我们需要调用https接口请求。我们使用httpClient,构建HttpClient对象时涉及到使用HostnameVerifier接口实例。 HostnameVerifier接口定义如下: 1 public abstract interface HostnameVerifier 2 { 3 public abstract boolean verify(String pa...
Android-CWAC-NetSecurity:简化安全上网
08-13
Android 开发中,网络编程是一项关键任务,尤其是随着网络安全问题的日益突出,使用 HTTPS 进行加密通信变得尤为重要。Android-CWAC-NetSecurity 提供了一套便捷的工具和类,使开发者能够快速集成 TLS(Transport...
Android SSL 安全访问HTTPS服务器案例
02-12
Android应用开发中,安全地访问HTTPS服务器是至关重要的,因为这涉及到用户的隐私数据和应用程序的安全性。SSL(Secure Socket Layer)和其升级版本TLS(Transport Layer Security)是实现网络通信安全的重要工具...
AndroidHTTPS通信
09-29
Android应用开发中,HTTPS通信是确保数据安全传输的重要手段,尤其是在使用WebView组件时。WebView是一种可以在应用程序内部显示网页内容的控件,因此理解如何在WebView中正确实施HTTPS通信至关重要。 首先,...
android+https的例子
09-22
Android应用开发中,安全地传输数据至关重要,尤其是在涉及到用户敏感信息时。HTTPS(HyperText Transfer Protocol Secure)是一种加密通信协议,它通过SSL/TLS(Secure Socket Layer/Transport Layer Security)...
Android项目中使用HTTPS配置的步骤详解
08-30
1. 配置HostnameVerifierHostnameVerifier是用于验证域名和服务器证书中域名是否匹配的接口。在Android中,我们可以使用OkHttp的默认实现,或者自定义一个HostnameVerifier来实现域名的验证。 2. 配置...
httpsUrlConnection 如何设置的默认sslcontext和 hostnameverifier?
xiaoliuliu2050的专栏
11-02 3364
https请求接口的时候java是什么时候默认添加ssl 上下文的? HttpURLConnection 子类HttpsURLConnection 子类HttpsURLConnectionImpl 1 url.openConnection()) 2 https 的Handler 调用 protected URLConnection openConnection(URL var1) throws IOException { return this.openConnection(var1, (Pro.
Android静态安全检测 -> HTTPS敏感数据劫持漏洞
4lwin博客
07-26 1万+
HTTPS敏感数据劫持漏洞 - SSLSocketFactory.setHostnameVerifier方法 1. API 继承关系 java.lang.Object org.apache.http.conn.ssl.SSLSocketFactory 主要方法 getSocketFactory()
Https证书校验不当引起的安全问题
Hubert的博客
02-16 1万+
1. 使用Webview进行HTTPs通信Android系统内置了一些可信机构办法的证书,可用于作HTTPs证书校验。实际上,使用Webview组件进行HTTPs通信,其证书验证环节也是系统默认会去做的。若发现证书不合法,Webview将显示一个空白页面,其错误在onReceivedSslError()这个方法里进行处理。使用Webview进行HTTPs通信应当遵循如下安全规范: 1) on
Android静态安全检测 -> 主机名弱校验
4lwin博客
07-29 6040
主机名弱校验 - HostnameVerifier.verify方法 1. API 继承关系 javax.net.ssl.HostnameVerifier public interface HostnameVerifier 主要方法 verify(String hostname, SSLSession
org.apache.http.conn.ssl.X509HostnameVerifier错误解决
qq_41294224的博客
03-28 1505
最初的错误是: java.lang.RuntimeException: java.lang.ClassNotFoundException: org.glassfish.jersey.client.JerseyClientBuilder 添加以下依赖项解决了初始错误 <dependency> <groupId>org.jboss.resteasy</groupId> <artifactId>resteasy-client&
通信握手校验-------HostnameVerifier
Caesar Home
12-24 2633
[强制]在实现的HostnameVerifier子类中,需要使用verify函数效验服务器主机名的合法性,否则会导致恶意程序利用中间人攻击绕过主机名效验。 说明: 在握手期间,如果URL的主机名和服务器的标识主机名不匹配,则验证机制可以回调此接口实现程序来确定是否应该允许此连接,如果回调内实现不恰当,默认接受所有域名,则有安全风险。 反例: HostnameVerifier hnv=ne...
HttpClient4.5 对HostnameVerifier的处理策略
a442828032的博客
05-04 1万+
除了信任验证和客户端身份验证在SSL/TLS协议层进行之外,HttpClient可以有选择的验证目标主机名是否跟服务端存储在X.509认证里的一致,一旦连接已经建立,这种验证可以为服务器认证提供额外的保障,javax.net.ssl.HostnameVerifier 接口代表了主机名验证的一种策略,HttpClient附带了两中javax.net.ssl.HostnameVerifier的实现,注...
OkHttp调用HTTPS遇到的问题之:SSLPeerUnverifiedException
notHeadache的博客
08-05 1万+
关于OkHttp OkHttp学习 Https学习 最近在用OkHttp调https接口的时候遇到一个问题 javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated. 这是由于https请求证书验证问题,直接请求一般都会失败。一般是做证书验证处理或者忽略证书验证。 可是给我https接口的小伙伴说,他们都没使用证书加密。我
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值