如何解决 HostnameVerifier 不安全的问题?

最新推荐文章于 2022-01-26 12:05:52 发布
最新推荐文章于 2022-01-26 12:05:52 发布
阅读量3w 收藏 23
点赞数 4
分类专栏: android应用 文章标签: HostnameVerifier verify okhttp 主机名验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010358168/article/details/83548639
版权
问题引入

App提交Google Play时,审核被拒,打回,信息如下:

本文面向的是在应用中采用不安全的 HostnameVerifier 接口实施方式的开发者。在与使用 [setDefaultHostnameVerifier](https://docs.oracle.com/javase/7/docs/api/javax/net/ssl/HttpsURLConnection.html#setDefaultHostnameVerifier%28javax.net.ssl.HostnameVerifier%29) API 的远程主机建立HTTPS 连接时,这种实施方式会接受所有主机名,从而使您的应用容易受到中间人攻击。攻击者可能会读取传输的数据(例如登录凭据),甚至更改通过 HTTPS 连接传输的数据。

从 2017 年 3 月 1 日起,只要新应用或应用更新采用的 HostnameVerifier 的实施方式不安全,一律禁止在 Google Play 发布。您已发布的APK版本不会受到影响,但是,如果不解决此漏洞,您将无法为应用发布任何更新。

解决方案

需要执行的操作

为了正确处理主机名验证,请更改您的自定义 HostnameVerifier 接口中的验证方法,指定在服务器的主机名不符合您的预期时返回 False。

so,关键点就在这了,不要使用默认的HostnameVerifier或者直接return true,错误示例如下:

builder.hostnameVerifier(new HostnameVerifier() {
    @Override
    public boolean verify(String hostname, SSLSession session) {
        return true;
    }
});

正确校验如下:

private static String[] VERIFY_HOST_NAME_ARRAY = new String[]{};

public static final HostnameVerifier createInsecureHostnameVerifier() {
     return new HostnameVerifier() {
         @Override
         public boolean verify(String hostname, SSLSession session) {
             if (TextUtils.isEmpty(hostname)) {
                 return false;
             }
             return !Arrays.asList(VERIFY_HOST_NAME_ARRAY).contains(hostname);
         }
     };
 }

可以在VERIFY_HOST_NAME_ARRAY中添加要校验的hostname,当然也可以直接copy上述代码,绕过GP的验证。

后续步骤

使用上文中突出显示的步骤更新应用。

登录 Developer Console 并提交应用的更新版本。

过 5 个小时后再回来查看。如果应用未正确更新,系统将会显示相应的警告消息。

如有其他技术问题,您可以在 Stack Overflow 上发帖咨询(使用“android-security”标签)。请注意,请勿在 Stack Overflow 上发布关于Play 政策的问题。

请注意,应用还必须遵循开发者分发协议和内容政策。如果您认为自己不应收到这则漏洞警告消息,请通过Google Play 开发者帮助中心与我们的政策支持团队联系。

小洋人最happy
关注
  • 4
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
Google提审失败:Android HostnameVerifier安全问题
bai_tt的博客
09-28 1288
Android 解决 HostnameVerifier安全问题-Google提审Google提审失败:修改思路修改重新提审注: Google提审失败: https://support.google.com/faqs/answer/7188426 从 2017 年 3 月 1 日起,只要新应用或应用更新采用的 HostnameVerifier 的实施方式不安全,一律禁止在 Google Play 发布。您已发布的APK版本不会受到影响,但是,如果不解决此漏洞,您将无法为应用发布任何更新。 修改思路
解决HostnameVerifier警告
Alrey的博客
09-24 5402
前言 今天邮箱收到一封官方的邮件,关键内容如下 一个HostnameVerifier警告,说限期不修复就会下架 Help Center 解决方案 如果你和我一样不知道HostnameVerifier是个什么东西,且确认自己没有用过这玩意儿,且项目里也没有这个东西(建议全局搜索一下HostnameVerifier),那么就能确定这个警告肯定是由于第三方库所引发的,这就需要你到你谷歌应用控制台去看看警告的详情信息(一般会在提醒列表里),google一般会告诉你是那个类触发了这个警告 查看谷歌控制台后,看到了如
通信握手校验-------HostnameVerifier
Caesar Home
12-24 2611
[强制]在实现的HostnameVerifier子类中,需要使用verify函数效验服务器主机名的合法性,否则会导致恶意程序利用中间人攻击绕过主机名效验。 说明: 在握手期间,如果URL的主机名和服务器的标识主机名不匹配,则验证机制可以回调此接口实现程序来确定是否应该允许此连接,如果回调内实现不恰当,默认接受所有域名,则有安全风险。 反例: HostnameVerifier hnv=ne...
HttpClient4.5 对HostnameVerifier的处理策略
a442828032的博客
05-04 1万+
除了信任验证和客户端身份验证在SSL/TLS协议层进行之外,HttpClient可以有选择的验证目标主机名是否跟服务端存储在X.509认证里的一致,一旦连接已经建立,这种验证可以为服务器认证提供额外的保障,javax.net.ssl.HostnameVerifier 接口代表了主机名验证的一种策略,HttpClient附带了两中javax.net.ssl.HostnameVerifier的实现,注...
HTTPS网络请求原理与实现
xingzhong128的博客
10-23 1340
HTTP协议属于明文传输,在公共网络上传输数据时很容易被不法分子截获到,对于像登录、转账之类比较私密的信息传输不适合用HTTP协议,为此业界又推出了HTTPS协议,它实际在HTTP协议和TCP协议之间添加了安全套接字(SSL,Secure Socket Layer)层,SSL层借助于加密解密过程实现网络上传输加密内容,不法分子即使获取到了密文,在没有正确的解密秘钥情况下无法获的真正的用户数据信息。...
googleplay 应用被拒之 友盟 HostnameVerifier
yu265096的专栏
09-21 1521
您的应用中 HostnameVerifier 的实施方式不安全。请参阅这篇 Google 帮助中心文章了解详情(包括修复漏洞的期限)。 存在安全漏洞的类: com.umeng.analytics.pro.ag$1 com.umeng.commonsdk.statistics.idtracking.v$1 com.umeng.commonsdk.statistics.idtracking.w$1 问了官方的人发现是最近出的一个问题。友盟官网在v9.1.6中修复了该漏洞。 最后:解决方法修复co.
Your app(s) are using an unsafe implementation of the HostnameVerifier interface.
薛瑄的博客
07-19 3457
最近在把APP上架到Google Play的时候,被拒了,提示如下: HostnameVerifier Your app(s) are using an unsafe implementation of the HostnameVerifier interface. You can find more information about how resolve the issue i...
java hostnameverifier_关于HostnameVerifier接口的解读
weixin_31315007的博客
02-26 1664
在项目中我们需要调用https接口请求。我们使用httpClient,构建HttpClient对象时涉及到使用HostnameVerifier接口实例。HostnameVerifier接口定义如下:1 public abstract interfaceHostnameVerifier2 {3 public abstract booleanverify(String paramString, S...
HttpsURLConnection的使用
u012591104的博客
09-20 2446
HttpURLConnection的API参见这里扩展方法及返回(毕竟英语课代表)getCipherSuite():获得此次连接过程中用到的加密算法套件getDefaultHostnameVerifier():获得被该类继承实例的默认认证域名getDefaultSSLSocketFactory():获得被该类继承实例的默认静态SSL套接字工厂getHostnameVerifier():获得该实例的认
一个经过验证的config.h
08-27
一个经过验证的TLS的config配置文件,详细的查看:https://blog.csdn.net/qq_43448742/article/details/108266716 该链接,详细描述了TSL的移植过程
Android okhttp3.0忽略https证书的方法
08-28
HostnameVerifier hostnameVerifier = new HostnameVerifier() { @Override public boolean verify(String s, SSLSession sslSession) { return true; } }; return hostnameVerifier; } OkHttpClient client...
Android项目中使用HTTPS配置的步骤详解
08-30
1. 配置HostnameVerifierHostnameVerifier是用于验证域名和服务器证书中域名是否匹配的接口。在Android中,我们可以使用OkHttp的默认实现,或者自定义一个HostnameVerifier来实现域名的验证。 2. 配置...
WebService绕过https证书认证方法.docx
12-17
这通常用于开发和测试环境,因为在这些环境中,可能使用自签名证书或者未被公共信任的证书,而正式环境中这种做法是不推荐的,因为它降低了网络安全。 描述部分没有给出具体信息,但根据标签"CS"(可能指的是计算机...
WebService绕过https证书认证方法.pdf
12-17
然而,在某些情况下,例如开发或内部网络环境中,可能使用的是自签名证书,这些证书在常规浏览器或应用中会被视为不受信任,从而导致安全警告。 为了绕过这种证书验证,可以使用Java的SSL/TLS机制进行自定义配置。...
Java JDK1.6,HttpURLConnection获取HTTPS链接,SSL
tyasd
03-29 2845
MyX509TrustManager.java import java.security.cert.CertificateException; import java.security.cert.X509Certificate; import javax.net.ssl.X509TrustManager; public class MyX509TrustManager impl...
Android开发使用https及Webview访问https页面
hunter800421的专栏
08-23 5445
HTTPS简介 HTTPS(Hyper Text Transfer Protocol Secure),是一种基于SSL/TLS的HTTP,所有的HTTP数据都是在SSL/TLS协议封装之上进行传输的。HTTPS协议是在HTTP协议的基础上,添加了SSL/TLS握手以及数据加密传输,也属于应用层协议。所以,研究HTTPS协议原理,最终其实就是研究SSL/TLS协议。 SSL/TLS协议 不使用
Lint检查选项
weixin_30663471的博客
08-12 958
一、lint检查可以通过tools:ignore忽略 lint –list Valid issue categories:issue id 种类CorrectnessCorrectness:MessagesSecurityPerformanceUsability:TypographyUsability:IconsUsability...
java中的HostnameVerifier接口
热门推荐
孤云博客
12-31 1万+
随时随地阅读更多技术实战干货,获取项目源码、学习资料,请关注源代码社区公众号(ydmsq666)、博主微信(guyun297890152)、QQ技术交流群(183198395)。 一、概述 位于javax.net.ssl包下。声明:public interface HostnameVerifier 此类是用于主机名验证的基接口。 在握手期间,如果 URL 的主机名和服务器的标识主...
Android之OkHttp网络架构源码深入分析(揭开神秘的面纱)
m0_66155412的博客
01-26 907
this.hostnameVerifier = builder.hostnameVerifier; this.certificatePinner = builder.certificatePinner.withCertificateChainCleaner( certificateChainCleaner); this.proxyAuthenticator = builder.proxyAuthenticator; this.authenticator = builder.authenticator; th
Glide请求https网络图片不信任证书
最新发布
04-26
您好,关于您的问题,可以尝试将Glide中的网络请求方式改为OkHttp,并在OkHttp的配置中添加信任自签名证书的代码,如下所示: ``` OkHttpClient.Builder builder = new OkHttpClient.Builder(); builder.sslSocketFactory(SSLSocketFactoryUtils.createSSLSocketFactory(),new SSLSocketFactoryUtils.TrustAllManager()); builder.hostnameVerifier(SSLSocketFactoryUtils.getHostnameVerifier()); ``` 其中,createSSLSocketFactory方法是自定义的一个返回信任自签名证书的SSLSocketFactory的静态方法,TrustAllManager是自定义的一个证书管理器,getHostnameVerifier是自定义的一个返回信任自签名证书的主机名验证器的静态方法。 希望这能够解决您的问题,如有其他问题,请随时提出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值