Android正确处理Https认证,防止中间人攻击

最新推荐文章于 2024-04-11 15:41:06 发布
最新推荐文章于 2024-04-11 15:41:06 发布
阅读量3.3k 收藏 7
点赞数
分类专栏: android笔记 文章标签: https https认证过程 客户端正确校验htt 中间人攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011084603/article/details/78540994
版权

Android在处理Https请求时如果处理不当会带来巨大安全隐患,其中原因有开发人员自身对https的不了解而导致。编写此文,帮助广大开发者提高安全意识,真正利用https防止中间人攻击。

客户端与服务端进行接口交互如果使用https有单向认证和双向认证两种。

一、SSL协议加密方式
SSL协议即用到了对称加密也用到了非对称加密(公钥加密),在建立传输链路时,SSL首先对对称加密的密钥使用公钥进行非对称加密,链路建立好之后,SSL对传输内容使用对称加密。

对称加密
速度高,可加密内容较大,用来加密会话过程中的消息

公钥加密
加密速度较慢,但能提供更好的身份认证技术,用来加密对称加密的密钥

二、https单向认证
来自网络

三、https双向认证
这里写图片描述

【重要!!】在第3步中客户端校验服务端证书有效性需要在客户端代码中做以下操作:
1、证书是否过期
2、发型服务器证书的CA是否可靠
3、返回的公钥是否能正确解开返回证书中的数字签名
4、服务器证书上的域名是否和服务器的实际域名相匹配

花燃柳卧
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[安卓网络安全]安卓SSL中间人攻击防范
Martin.Mu `s Special Column
11-27 1824
SSL中间人攻击安全 问题说明 漏洞影响 能实现ssl中间人攻击有三个可能性,第一个就是自定义的X509TrustManager不校验证书;或实现的自定义HostnameVerifier不校验域名接受任意域名;或使用setHostnameVerifier (ALLOW_ALL_HOSTNAME_VERIFIER)允许所有域名,这样应用容易遭受中间人攻击,存在用户敏感数据被盗取的风险。 修复建议 1...
AndroidHTTPS中间人攻击”分析与防御
sinat_36955332的博客
11-30 1184
一、HTTPS的作用 1、 认证服务端与服务器,确保相互之间的信任关系。 2、 加密数据,防止泄露。 3、 验证数据完整性,防止篡改。 二、 HTTPS工作原理 我们这里所关注的Https工作原理,主要指的是SSL协议的握手流程; HTTP +加密+认证+完整性保护=HTTPSHTTPS是身披SSL外壳的HTTP;HTTPS并非是应用层的一种新协议,而是HTTP通信接口部分用SSL协议代替,通信时,HTTP先和SSL通信,再由SSL与TCP通信。 HTTPS采用对称加密和非对称加密两种加密机制
AndroidHttps请求如何防止中间人攻击和Charles抓包原理
贵公子丶笔记
04-17 1631
客户端访问https网站 一般有两种方式实现,一是信任所有的证书,也就是跳过证书合法性校验这一步骤,对于这种做法肯定是有风险的;二是校验证书,证书合法才能访问。 第一种方式 :信任所有证书 解决证书不被系统承认的方法,就是跳过系统校验。要跳过系统校验,就不能再使用系统标准的SSLSocketFactory了,需要自定义一个。然后为了在这个自定义的SS...
Android应用安全常见问题及解决方案
最新发布
2401_83974199的博客
04-11 712
组件暴露,如果含有权限,而且没有设置保护(这里的权限不仅仅是传统意义上的那种谷歌定义的高权限行为),攻击者就可以在在用户不知情情况下做一些事情,比如访问组件直接发短信,还有一种情况是应用设计逻辑上比较高危,比如我之前看到一款金融类的APP,它的设计就是先有一个输入密码的界面,类似于保护锁,通过保护锁验证成功之后才可以金融信息这样的隐私数据。但是如果第二个界面组件暴露了,就可以不用锁直接绕过验证。下面介绍一个,今年某某社交软件发现的SDK的问题。
Android安全之Https中间人攻击漏洞
09-18
HTTPS,是一种网络安全传输协议,利用SSL/TLS来对数据包进行加密,以提供对网络服务器的身份认证,保护交换数据的隐私与完整性。 中间人攻击,Man-in-the-middle attack,缩写:MITM,是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。 https在理论上是可以抵御MITM,但是由于开发过程中的编码不规范,导致https可能存在MITM攻击风险,攻击者可以解密、篡改https数据。
AndroidHttps通信实现_客户端单向认证校验防止中间人攻击
renzhongrui的博客
01-08 1386
引入HTTPS是为了解决HTTP所带来的三个问题: HTTP是明文传输,数据容易被窃取,因此要加密数据以防止数据中途窃取 认证服务器身份,确保数据发送到正确的服务器 维护数据的完整性,防止数据在传输中被改变,如中间人攻击 ...
Android TLS1.2双向认证demo
08-15
TLS(Transport Layer Security)是一种网络安全协议,用于确保网络通信的安全性,防止中间人攻击和其他形式的数据篡改。 首先,我们要理解双向认证的概念。双向认证是指客户端和服务端都需要验证对方的身份,这...
IOS,Android SSL双向认证HTTPS方式请求及配置证书
12-19
而在双向认证中,客户端不仅要验证服务器的身份,服务器也要验证客户端的身份,这样可以防止中间人攻击,增强了通信的安全性。 在`IOS`平台上,我们可以使用`NSURLSession`或`NSURLConnection`(对于旧版本的`IOS`...
移动应用APP中间人攻击的分析与测试.pdf
08-26
防止中间人攻击,我们需要正确地使用HTTPS协议,做好证书有效性校验,确保通信数据的安全传输。同时,在开发过程中需要规避这种风险,防止APP遭受中间人攻击。 此外,我们还需要了解移动应用APP的主要安全风险,...
android https 双向验证
05-11
Android开发中,HTTPS协议是用于安全网络通信的重要手段,它可以保护数据的隐私性和完整性,防止中间人攻击。然而,通常的HTTPS连接仅进行单向验证,即客户端验证服务器的身份,而服务器并不验证客户端。但在某些...
跳过Https认证
01-11
SSL证书是验证服务器身份的重要手段,它由受信任的证书颁发机构(CA)签发,确保用户与正确的服务器进行通信,并防止中间人攻击。 当跳过HTTPS的SSL验证时,Android应用会忽略服务器的证书验证,允许与任何服务器建立...
无Root安卓手机抓包HTTPS(可破解HTTPS双向验证)
05-22
无Root安卓手机抓包HTTPS(可破解HTTPS双向验证) 解压密码 qq810285810
关于Https安全性问题、双向验证防止中间人攻击问题
热门推荐
Dr的专栏
01-18 2万+
关于Https安全性问题、双向验证防止中间人攻击问题最近项目中遇到一个问题,安全测试时反馈出,利用fiddler截取到了客户端与后台的https接口的明文内容,这是一个可怕的问题,那么接下来我从下面几点做一些概述和代码举例。1、HttpsHttp安全性? 是的,Https是以安全为目标的Http版本,在Http上使用SSL层,进行加密传输(对称和非对称加密),还具备身份验证的功能(下面会重点说H
Android中进行https请求信任证书问题(效率解决,小白适用)
我鱼的博客
01-19 1万+
前言 Volley 框架信任所有https证书 基于Okhttpclient信任https所有证书 前言 在Android开发项目中难免要进行https请求,如果你也遇到这样的问题,那么我想这片博客能对你有些帮助。 java.security.cert.CertPathValidatorException: Trust anchor for certification path not fou
论文级深度长文 OkHttp 原理解析!
star_nwe的博客
06-01 1522
前言 1. OkHttp 请求处理流程概述 当我们发起同步请求时,请求会被 Dispatcher 放到同步请求队列中,然后直接执行请求。 当我们发起异步请求时,Dispatcher 会把请求放到异步请求队列,然后在合适的时机把异步请求提交到线程池中执行。 请求的执行由拦截器链负责,处理的顺序为:重试与重定向拦截器—首部构建拦截器—缓存拦截器—连接拦截器—数据交换拦截器。 当数据交换拦截器 CallServerInterceptor 接收到请求时,会通过数据交换器 Exchange 写入请求信息,而 Exc
HTTPS单向认证、双向认证、抓包原理、反抓包策略
a18827547638的博客
04-11 6706
HTTP(HyperText Transfer Protocol,超文本传输协议)被用于在Web浏览器和网站服务器之间传递信息,在TCP/IP中处于应用层。这里提一下TCP/IP的分层共分为四层:应用层、传输层、网络层、数据链路层; 分层的目的是:分层能够解耦,动态替换层内协议 各个层包含的内容: 应用层:向用户提供应用服务时的通讯活动(ftp,dns,http)传输层:网络连接中两台计算机的...
Https抓包步骤详解——模拟中间人攻击
张平的专栏
07-17 4021
讲两块内容:charles实现https抓包;使用charles实现请求报文和响应报文数据篡改。 进入正题: 一、charles配置证书实现https抓包 配置步骤: 1、保证手机跟mac连接的通一个网,即连接同一个wifi或4G热点即可。 2、配置https信任证书。将mac中charles证书安装到手机端,操作步骤如下: 点击help,按下图点选 进入下图:charles按照下图打开映射网址...
Android 应用实现 Https 双向认证
m0_64365896的博客
04-25 1997
为什么需要双向认证 Https保证的是信道的安全,即客户端和服务端通信报文的安全。但是无法保证中间人攻击,所以双向认证解决的问题就是防止中间人攻击中间人攻击(Man-in-the-MiddleAttack)简称(MITM),是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。若没有开启双向认证,中间人可以拦截客户端发送的请求,然后篡改信息再发送到服务端;中间人也可以拦截服务端返回的信息,再发送到客户端。所
Android备份文件口令认证机制安全性分析及其改进.pdf
06-20
In the document "Android Backup File Password Authentication Mechanism Security Analysis and Improvement.pdf", the security of cryptographic schemes is evaluated under two main models: unconditional ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值