Android静态安全检测 -> 主机名弱校验

最新推荐文章于 2024-07-04 14:10:48 发布
最新推荐文章于 2024-07-04 14:10:48 发布
阅读量6k 收藏
点赞数
分类专栏: 【Android静态安全检测】 文章标签: Android安全 中间人攻击 主机名校验 HostnameVerifier verify方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013107656/article/details/52065961
版权

主机名弱校验 - HostnameVerifier.verify方法


一、API


1. 继承关系


【1】javax.net.ssl.HostnameVerifier

【2】public interface HostnameVerifier


2. 主要方法


【1】verify(String hostname, SSLSession session)

         校验服务器主机名


【2】参考链接


https://developer.android.com/reference/javax/net/ssl/HostnameVerifier.html


3. 示例


【1】verify方法,接受任意域名服务器


【2】参考链接


http://pingguohe.net/2016/02/26/Android-App-secure-ssl.html

二、触发条件


1. 自定义实现HostnameVerifier


【1】对应到smali语句中的特征

         .implements Ljavax/net/ssl/HostnameVerifier;


2. verify方法中的语句


【1】定位verify方法

         .method public verify(Ljava/lang/String;Ljavax/net/ssl/SSLSession;)Z


【2】verify方法内的语句判断

         const v0, 0x1

         return v0


3. 漏洞代码示例

三、漏洞原理


【1】自定义实现的HostnameVerifier子类中,未对主机名做验证,默认接受所有域名,会存在安全风险,可能会导致恶意程序利用中间人攻击绕过主机名校验


【2】更多内容


http://pingguohe.net/2016/02/26/Android-App-secure-ssl.html


http://www.droidsec.cn/android-https中间人劫持漏洞浅析/


https://jaq.alibaba.com/community/art/show?spm=a313e.7975615.40002100.4.1ooXUl&articleid=60

四、修复建议


【1】利用HostnameVerifier子类中的verify函数,校验服务器主机名的合法性

4lwin
关注
专栏目录
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
vbs 获取计算机主机名,vbs 脚本 获取机器名/IP/MAC
weixin_34651547的博客
06-22 1658
strComputer = "."strMesseage=""Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")'获取本机计算机名Set colSettings = objWMIService.ExecQuery ("S...
解决HostnameVerifier警告
Alrey的博客
09-24 5495
前言 今天邮箱收到一封官方的邮件,关键内容如下 一个HostnameVerifier警告,说限期不修复就会下架 Help Center 解决方案 如果你和我一样不知道HostnameVerifier是个什么东西,且确认自己没有用过这玩意儿,且项目里也没有这个东西(建议全局搜索一下HostnameVerifier),那么就能确定这个警告肯定是由于第三方库所引发的,这就需要你到你谷歌应用控制台去看看警告的详情信息(一般会在提醒列表里),google一般会告诉你是那个类触发了这个警告 查看谷歌控制台后,看到了如
Android安全】https安全HostnameVerifier
Juruo@Security
10-05 3593
Android安全】https安全HostnameVerifier
通信握手校验-------HostnameVerifier
Caesar Home
12-24 2701
[强制]在实现的HostnameVerifier子类中,需要使用verify函数效验服务器主机名的合法性,否则会导致恶意程序利用中间人攻击绕过主机名效验。 说明: 在握手期间,如果URL的主机名和服务器的标识主机名不匹配,则验证机制可以回调此接口实现程序来确定是否应该允许此连接,如果回调内实现不恰当,默认接受所有域名,则有安全风险。 反例: HostnameVerifier hnv=ne...
Android 网络地址之实现检查主机名的功能
路宇的博客
01-06 1905
效果演示: 实现步骤 一、布局页面activity_inet_address.xml <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:app="http://schemas.android.com/apk/res-auto" xmlns:tools="http://schemas.and
Android 解决 HostnameVerifier安全的问题-Google提审
u012138730的专栏
09-22 2862
提审以后收到google回信: https://developer.android.com/reference/javax/net/ssl/HostnameVerifier.html 1.先查看这个类在哪个jar包中,或者在哪个文件中——项目中是在GCloudVoice.jar这个包,腾讯云语音。 2.确定这个类中的HostnameVerifier的使用,确实是都返回的true: 3.修改这个jar包,应该在不符合要求的时候返回false: 具体修改jar包的参考文章https:...
Android应用安全检测项目
苛学加记事
07-08 6984
Android应用安全检测项目 使用静态检测引擎对APK文件进行反编译,扫描反编译后的代码文件即可发现应用的安全漏洞。 一般有以下内容,比较有参考价值,部分是平时编码时有可能忽略的问题,在此整理供大家参考。 1. 基础信息 1.1 权限过度声明风险检测 检测应用中是否存在权限滥用情况。 权限是一种安全机制,主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。Android通过在AndroidManifest.xml中增加权限来控制限制性功能的使用和组件访问。权限滥用是指应用权限开
android安全基础知识学习
LJFYYJ的博客
07-25 1649
android Dalvik层和Native层逆向 JEB静态分析、动态调试 IDA静态分析、动态调试
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 016-网络安全应急技术与实践(Web层-应急响应技术总结)
热门推荐
时光隧道
02-11 7万+
Web安全事件应急响应技术是指针对Web应用程序遭受风险和安全漏洞的事件,如网络攻击、数据泄露、恶意软件等,迅速采取措施进行监测、分析和应对的技术手段。应急响应技术描述1. 监测和日志分析通过实时监测和分析Web应用程序的日志,以便发现异常活动和潜在的安全威胁。2. 威胁情报收集与分析收集和分析来自多个来源的威胁情报,以帮助识别和应对潜在威胁。3. 漏洞扫描和漏洞管理通过定期对Web应用程序进行漏洞扫描,及时发现和修复潜在的安全漏洞。4. 网络流量分析。
浅谈https与主机名验证
11-29
浅谈https与主机名验证,轻松搞定私钥验证
android未验证,主机名未通过验证ANDROID
weixin_39574708的博客
05-29 160
我正在使用kso??ap lib调用webservice.在某些情况下,服务运行正常,但在某些情况下,它给出的主机名未通过验证以下是我用于调用网络服务的代码.HttpTransportSE httpTransport = new HttpTransportSE(URL, MessageConstant.TIMEOUT_TIME);httpTransport.debug = true; // thi...
Okhttp hostnameVerifier详解
最新发布
菜鸟博客
07-04 1294
Okhttp hostnameVerifiter详解
javax.net.ssl.SSLKeyException:Hostname verification failed
z258246786的博客
04-11 1684
使用HTPPSURLConnection发送https请求,并且设置了HTPPSURLConnection.setDefaultHostnameVerifier和HTPPSURLConnection.setDefaultSSLsocketFactory,以便weblogic作为客户端时不检验服务端的域名和证书,但是发送请求依然报错。问题的奇怪之处在于该程序我已经测试通过并且上线,但是在测试环境某次被未知修改后,针对无法请求成功。
Google提审失败:Android HostnameVerifier安全的问题
bai_tt的博客
09-28 1325
Android 解决 HostnameVerifier安全的问题-Google提审Google提审失败:修改思路修改重新提审注: Google提审失败: https://support.google.com/faqs/answer/7188426 从 2017 年 3 月 1 日起,只要新应用或应用更新采用的 HostnameVerifier 的实施方式不安全,一律禁止在 Google Play 发布。您已发布的APK版本不会受到影响,但是,如果不解决此漏洞,您将无法为应用发布任何更新。 修改思路
Your app(s) are using an unsafe implementation of the HostnameVerifier interface.
薛瑄的博客
07-19 3493
最近在把APP上架到Google Play的时候,被拒了,提示如下: HostnameVerifier Your app(s) are using an unsafe implementation of the HostnameVerifier interface. You can find more information about how resolve the issue i...
如何解决 HostnameVerifier安全的问题?
小洋人最happy的专栏
10-31 3万+
问题引入 App提交Google Play时,审核被拒,打回,信息如下: 本文面向的是在应用中采用不安全HostnameVerifier 接口实施方式的开发者。在与使用 [setDefaultHostnameVerifier](https://docs.oracle.com/javase/7/docs/api/javax/net/ssl/HttpsURLConnection.html#set...
flutter项目app上架Google Play 审核问题: HostnameVerifier
WeiLenNuanYang的博客
11-19 2871
关于flutter项目app上架Google Play 审核问题: Your app(s) are using an unsafe implementation of the HostnameVerifier interface. You can find more information about how resolve the issue in this Google Help Center article. 即: 您的应用正在使用 HostnameVerifier 接口的不安全实现。您可以在这篇
Https请求不信任服务器的证书报错解决方案
君子为猿的博客
07-11 2710
调用第三方系统Https接口时,出现报错信息如下: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值