Android静态安全检测 -> HTTPS敏感数据劫持漏洞

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u013107656/article/details/52036158

HTTPS敏感数据劫持漏洞 - SSLSocketFactory.setHostnameVerifier方法



一、API


1. 继承关系


【1】java.lang.Object

【2】org.apache.http.conn.ssl.SSLSocketFactory


2. 主要方法


【1】getSocketFactory()


【2】setHostnameVerifier(X509HostnameVerifier hostnameVerifier)


【3】其他方法


https://developer.android.com/reference/org/apache/http/conn/ssl/SSLSocketFactory.html


3. 示例


【1】调用setHostnameVerifier方法的语句


【2】验证模式

         ALLOW_ALL_HOSTNAME_VERIFIER  关闭host验证,允许和所有的host建立SSL通信                  

         BROWSER_COMPATIBLE_HOSTNAME_VERIFIER  和浏览器兼容的验证策略,即通配符能够匹配所有子域名

         STRICT_HOSTNAME_VERIFIER  严格匹配模式,hostname必须匹配第一个CN或者任何一个subject-alts


【3】参考链接


http://yukinami.github.io/2016/02/15/Android使用HTTPS通信/


二、触发条件


1. 调用setHostnameVerifier方法


【1】对应到smali语句的特征

          ;->setHostnameVerifier(Lorg/apache/http/conn/ssl/X509HostnameVerifier;)V


2. 寄存器赋值的判断

          sget-object v1, Lorg/apache/http/conn/ssl/SSLSocketFactory;->   

         ALLOW_ALL_HOSTNAME_VERIFIER:Lorg/apache/http/conn/ssl/X509HostnameVerifier;


3. 漏洞代码示例


三、漏洞原理


【1】Android APP在HTTPS通信中,使用ALLOW_ALL_HOSTNAME_VERIFIER,表示允许和所有的HOST建立SSL通信,这会存在中间人攻击的风险,最终导致敏感信息可能会被劫持,以及其他形式的攻击


【2】更多内容


http://pingguohe.net/2016/02/26/Android-App-secure-ssl.html


http://www.droidsec.cn/android-https中间人劫持漏洞浅析/


https://jaq.alibaba.com/community/art/show?spm=a313e.7975615.40002100.4.1ooXUl&articleid=60


四、修复建议


【1】验证策略改成严格模式,即把ALLOW_ALL_HOSTNAME_VERIFIER改成STRICT_HOSTNAME_VERIFIER

没有更多推荐了,返回首页

私密
私密原因:
请选择设置私密原因
  • 广告
  • 抄袭
  • 版权
  • 政治
  • 色情
  • 无意义
  • 其他
其他原因:
120
出错啦
系统繁忙,请稍后再试