flutter 代码混淆和SSL

最新推荐文章于 2024-03-05 18:02:30 发布
最新推荐文章于 2024-03-05 18:02:30 发布
阅读量313 收藏
点赞数
文章标签: flutter ssl 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shelutai/article/details/134185768
版权

代码混淆
代码混淆是将人类可读的代码转换成看似垃圾的读代码,使攻击者更难理解捆绑是否被反编译以进行反向工程。在 Flutter 2.0 + 上,本地平台默认已经做到了这一点,对于混淆 Dart 代码,我们可以包含——模糊标志以及带有模糊符号位置的—— split-debug-info 标志。然后可以使用这些符号将混淆后的代码转换回可读代码,以便在需要时调试问题。

flutter build appbundle --obfuscate --split-debug-info=./symbols/
Flutter build appbundle —— obfuscate —— split-debug-info = ./marks/
flutter build apk --obfuscate --split-debug-info=./symbols/
Flutter build apk —— obbuscate —— split-debug-info = ./marks/
flutter build ios --obfuscate --split-debug-info=./symbols/
Flutter build ios —— obbuscate —— split-debug-info = ./marks/
SSL Pinning
SSL 固定是一种安全措施,它将可信证书的身份固定在移动应用程序上,并阻止来自可疑服务器的未知文档。带有固定 SSL 证书的应用程序依赖于其存储的证书,而不是依赖于证书颁发机构存储许可证。使用这种技术,您可以在开发期间将 SSL 证书主机ーー可信证书列表固定到您的应用程序,并在运行期间进一步比较服务器证书与列表。

You can read more about SSL Pinning here: https://medium.com/@anuj.rai2489/ssl-pinning-254fa8ca2109

你可以在这里阅读更多关于 SSL 固定的内容: https://medium.com/@anuj.rai2489/SSL-Pinning-254fa8ca2109

Diagrammatic view of how SSL pinning works
Diagrammatic view of how SSL pinning works
SSL Pinning

因此,要实现这一点,我们需要:

Pem 格式的证书
预请求钩子处理程序
要获得所需格式的证书,首先需要从 Web 浏览器下载该证书,该证书将位于。Cerformat,然后使用以下命令:

openssl x509 -in cert.cer -out cert.pem
Openssl x509-in cert.cer.out cert.pem
然后在所选的 http 库中的预请求钩子处理程序中使用 verifyHandshake 函数。

import ‘dart:io’;

import ‘package:flutter/material.dart’;
import ‘package:flutter/services.dart’;
import ‘package:http/io_client.dart’;

Future get globalContext async {
final sslCert = await rootBundle.load(‘assets/certs/ryandsilva-dev.pem’);
final sc = SecurityContext(withTrustedRoots: false);
sc.setTrustedCertificatesBytes(sslCert.buffer.asInt8List());
return sc;
}

Future verifyHandshake(String url) async {
try {
final client = HttpClient(context: await globalContext);
client.badCertificateCallback = ((cert, host, port) => false);
final ioClient = IOClient(client);
await ioClient.get(Uri.parse(url));
return true;
} catch (e) {
debugPrint(‘Could not complete SSL handshake: ${e.toString()}’);
return false;
}
}

bool isSecureConnection = await verifyHandshake(‘https://ryandsilva.dev/’);
SSL Pinning

网络安全配置(Android 专用)
这是本机配置,使应用程序只能与强制 HTTPS 连接的允许域进行通信。Security_config.xml 文件应该包含应用程序需要与之通信的所有域的条目。Include 包含子域参数指定是否要包含主域的所有子域。如果选择不包括所有子域,则可以在域列表中单独指定每个子域。中添加到以下位置的每个域的证书。Pem 格式: android/app/src/main/res/raw 和 security_config.xml 文件位于 android/app/src/main/res/xml 文件夹中。




<?xml version="1.0" encoding="utf-8"?> ryandsilva.dev 安全配置 ー Android

NSAppTransportation 安全(仅限 iOS)
这是本机配置,使应用程序只能与强制 HTTPS 连接的允许域进行通信。NSExceptionDomains 键应该包含应用程序需要与之通信的所有域的条目。NSPackesSubdomain 键指定是否要包括主域的所有子域。如果选择不包括所有子域,则可以在域列表中单独指定每个子域。下面的代码片段应该附加到 IOS/Runner 下的 Info.plist 文件。

NSAppTransportSecurity

NSExceptionDomains

ryandsilva.dev

NSIncludesSubdomains

NSTemporaryExceptionAllowsInsecureHTTPLoads




NSAppTransportSecurity Config — iOS

越狱及根源侦测
根据应用程序的类型,您可能希望限制在有根/破解设备上的使用。不允许您的应用程序在植根/破解设备上运行将阻止黑客访问设备上的应用程序数据和其他可能危害您的应用程序的活动。为此,我们将使用 flutter_jailbreak_check 包。

import ‘dart:io’;

import ‘package:flutter/services.dart’;
import ‘package:flutter_jailbreak_detection/flutter_jailbreak_detection.dart’;

Future checkJailbrokenOrRooted() async {
bool jailbrokenOrRooted = true;
try {
if (Platform.isAndroid) {
jailbrokenOrRooted = await FlutterJailbreakDetection.developerMode;
} else if (Platform.isIOS) {
jailbrokenOrRooted = await FlutterJailbreakDetection.jailbroken;
} else {
jailbrokenOrRooted = true;
}
return jailbrokenOrRooted;
} on PlatformException {
jailbrokenOrRooted = true;
return jailbrokenOrRooted;
}
}
根/ 越狱检测

谢谢!

一键远控手机电脑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
flutter 自定义第三方插件 使用后混淆问题
01-03
我遇到的问题是 ,定义了一个打印机的插件 ,传数据 过来,使用gson 解析后  发现 定义的接受的bean对象 被混淆 无法转换json解析成对象 解决方式 在你的定义的插件里面build.gradle配置如下  增加独立的混淆配置 buildTypes { release { consumerProguardFiles proguard-rules.pro } } proguard-rules.pro 里面就是正常配置 不需要混淆的对象 延伸知识    Android aar中增加独立的混淆配置 https://www.jianshu.com/p/a8
flutter demo代码
10-24
flutter demo代码
Flutter App代码混淆
最新发布
老猿的自留地
03-05 754
flutter build apk –obfuscate --split-debug-info 命令需要指定输出调试文件的位置,该命令会生成一个符号映射表。相关命令的其他信息,可以运行 flutter build apk -h 查看,如果不支持该命令,核实 Flutter 版本,执行 flutter upgrade 更新。Flutter 应用的混淆非常简单,只需要在构建 release 版应用时结合使用 --obfuscate 和 --split-debug-info 这两个参数即可。
RN和Flutter对比
01-03
RN和Flutter对比 Flutter是谷歌的移动UI框架 [3] ,可以快速在iOS和Android上构建高质量的原生用户界面。 Flutter可以与现有的代码一起工作。在全世界,Flutter正在被越来越多的开发者和组织使用,并且Flutter是完全免费、开源的。它也是构建未来的Google Fuchsia应用的主要方式。 Flutter组件采用现代响应式框架构建,这是从React中获得的灵感,中心思想是用组件(widget)构建你的UI。 组件描述了在给定其当前配置和状态时他们显示的样子。当组件状态改变,组件会重构它的描述(description),Flutter会对比之前的描述,
Flutter 常用系列demo代码
09-12
Flutter 练习测试的一些资源吧,LIst、GrediView、Text、Textfeild、Contina、Flex Row\Colum、等demo,后续换会继续更新别的资源,后续
关于通用编程语言 字符串 流程控制加密的可行性-flutter sdk字符串混淆.加固
情随事迁个人博客
01-02 1810
众所周知, 目前大部分的加固都是基于中间代码进行混淆 处理, 但是最终的效果都是实现了,字符串混淆加密, 方法类名重定义, 但是很少有做基于源码级别的处理. 我认为这都是可行的,工具能识别语法,如果能熟悉开发工具sdk 进行研究,我想实现这个万能源码级别的加密更简单一些,它能识别一些语法问题,知道什么名字该混淆什么名字不该混淆. 这是我很久以前写的基于源码级别的字符串加密,虽然这个无法和目前基于d...
Flutter 代码混淆 混淆Dart代码
卓原的进化之旅
10-23 5549
代码混淆 Flutter代码混淆 flutter代码混淆就是混淆dart代码代码混淆是修改应用程序二进制文件的过程,以使人们更难以理解。混淆将函数名和类名隐藏在已编译的Dart代码中,从而使攻击者很难对您的专有应用程序进行反向工程。 Flutter代码混淆的做法 Flutter版本小于1.16 Android 将以下行添加到<ProjectRoot> /android/gradle.properties: extra-gen-snapshot-options=--obfuscate 有
flutter 代码混淆
唐僧的专栏
11-14 2938
flutter 代码混淆
App加固中的代码混淆功能,让逆向工程师很头疼
不写代码没饭吃的博客
11-16 595
​。
Flutter ios混淆打包
u012735472的专栏
09-30 1217
构建命令: flutter build ios --obfuscate --split-debug-info=./symbols 命令执行成功会在 build/ios/iphones 生成一些文件, 再打开xcode ->Product -> Archive 打包即可
Flutter 即学即用系列博客——10 混淆
weixin_34306593的博客
03-29 280
前言 之前的博客我们都是在 debug 的模式下进行开发的。 实际发布到市场或者给到用户的都是 release 包。 而对于 Android 来说,release 包一个重要的步骤就是混淆。 Android 如何混淆 如何你不做任何处理,直接在原有混淆基础上打出 release 包。 当运行到 Flutter 对应代码,会 crash。 因此我们需要在 Android 项目的 proguard-...
flutter web登录和注册页
04-12
一个flutter web项目的demo的第一步,简单实现登录和注册页,以及两个页面的互相跳转
widget_analyzer_j2me_flutter_flutter代码实现相机_源码
10-02
flutter代码实现相机功能
Flutter默认项目代码详解,注释超详细
12-11
Flutter项目目录结构及代码详解,注释超详细,详情可以看博客:https://mp.csdn.net/mdeditor/84951960
Flutter中的代码混淆
吉原拉面
08-21 4635
  原文链接:https://github.com/flutter/flutter/wiki/Obfuscating-Dart-Code   以下内容均来自Flutter Github官方Wiki。   代码混淆可以隐藏你的Dart代码中的函数和类名,让反编译App变得困难。   注:Dart的混淆还没有经过完全的测试,如果发现问题请到GitHub上提 issue 。关于混淆的问题,还可以参考...
flutter 代码混淆
憧憬个人博客
12-13 461
Flutter 应用混淆Flutter 应用的混淆非常简单,只需要在构建 release 版应用时结合使用 --obfuscate 和 --split-debug-info 这两个参数即可。–obfuscate --split-debug-info 用来指定输出调试文件的位置,该命令会生成一个符号映射表。
Flutter 自签名证书
shelutai的博客
11-02 850
2.本地CA根证书验证服务器证书时,当服务器证书的签名不对时,会回调到badCertificateCallback, 而其他证书错误也会回调到badCertificateCallback, 如果要如何区分不同的证书错误原因,则需要手动去校验证书的签名等信息。当系统检测证书有问题时,会通过回调badCertificateCallback让我们有机会接受或拒绝这个错误的证书,当返回true时,表示我们接受这个证书,会继续完成通讯请求,当返回false时,表示我们不接受错误的证书,https通讯将失败。
Flutter运行第一个项目时出现javax.net.ssl.SSLHandshakeException的一些解决思路
fwhdzh的博客
06-09 4983
前言 我其实是很不想写这篇文章的,因为这个错误实际上我并没有深入搞明白其中的机制,也没有找到一个非常优雅的解决方法。虽然经过一天的查找资料和各种尝试最后莫名其妙的解决,但是确实是不知其原因。。 只是这个问题实在是过于恶心,网上的相关帖子数不胜数,而我至少看了几十个经验帖,包括github,stackoverflow以及各个国内网站。解决方法层出不穷,却没有一个对我有效。。因此我还是写一写我的一些思路。也许未来刚好会有人和我情况类似然后用这篇博客的思路解决。 需求 需求很简单,按照这个教程走到“体验flutt
Flutter安卓混淆的相关问题
白玉梁的专栏
10-08 1315
当你执行 build apk 后,flutter会默认进行混淆,若你的应用中引用了第三方的sdk,在debug模式下没问题,但在release下可能就会出现各种各样的问题,找不到某个类,或者某个功能无法使用,甚至直接崩溃等,此时,就需要你去处理混淆的相关问题。
flutter代码混淆
05-28
是的,Flutter 支持使用代码混淆技术来保护应用程序的安全性。Flutter 在构建应用程序时使用了 Dart 编程语言,因此可以使用 Dart 自带的代码混淆工具来对应用程序进行混淆。 Dart 自带的代码混淆工具可以通过在构建应用程序时添加 `--obfuscate` 和 `--split-debug-info` 参数来启用。`--obfuscate` 参数用于启用代码混淆,`--split-debug-info` 参数用于将调试信息分离出来,以方便开发者进行调试。 需要注意的是,代码混淆并不能完全保证应用程序的安全性,只能提高应用程序的安全性。因此,在使用代码混淆技术时,需要注意保护源代码的版权和安全性,同时使用其他安全措施来保护应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值