android中的ssl_Android中的SSL固定

最新推荐文章于 2024-02-26 20:00:00 发布
最新推荐文章于 2024-02-26 20:00:00 发布
阅读量1.7k 收藏 1
点赞数
文章标签: android https ssl python
原文链接:https://medium.com/@mailapurvpandey/ssl-pinning-in-android-90dddfa3e051
版权

android中的ssl

什么是SSL? (What is SSL?)

SSL stands for Secure Sockets Layer. SSL is the standard security technology for establishing an encrypted link between a client and a server. This link ensures that all data passed between the web server and browser remain private.

SSL代表安全套接字层 。 SSL是用于在客户端和服务器之间建立加密链接的标准安全技术。 此链接可确保在Web服务器和浏览器之间传递的所有数据保持私有状态。

These two systems can be a server (our backend server) and a client (our android app) or a server and another server (our backend server interacting with another server).

这两个系统可以是服务器(我们的后端服务器)和客户端(我们的android应用),也可以是服务器和另一台服务器(我们的后端服务器与另一台服务器交互)。

This is the most widely deployed cryptographic protocol to provide a secure communication channel.

这是部署最广泛的加密协议,用于提供安全的通信通道。

SSL如何确保数据的安全性? (How does SSL ensure security of data?)

A Man-in-the-Middle attack occurs when an attacker places himself between the server/host and the client, impersonating one of them. In other words, when the client is connecting to the server, it is actually dealing with the hacker and vice versa. Thus, although the client “thinks” that it has established an encrypted connection with the server, but in reality both of them are actually “talking” to the attacker who can view and modify the data. For this reason, everyone calls it a “Man-in-the-Middle” attack.

当攻击者将自己放置在服务器/主机和客户端之间,并冒充其中之一时,就会发生中间人攻击。 换句话说,当客户端连接到服务器时,它实际上是在处理黑客,反之亦然。 因此,尽管客户端“认为”它已经与服务器建立了加密连接,但实际上,它们两者实际上都是在与可以查看和修改数据的攻击者“交谈”。 因此,每个人都将其称为“中间人”攻击。

Image for post

SSL encrypts the data being transmitted so that a third party or any “Man-in-the-Middle” cannot “eavesdrop” on the transmission and view the data being transmitted. Only the client and the secure server are able to recognize and understand the data. This means that anyone who tries to intercept this data will only see a garbled mix of characters that’s nearly impossible to decrypt.

SSL对正在传输的数据进行加密,以使第三方或任何“中间人”无法“窃听”传输并查看正在传输的数据。 只有客户端和安全服务器才能识别和理解数据。 这意味着任何试图截取此数据的人都只会看到几乎无法解密的乱码字符。

This technique derives from the concept of the SSL Certificate and the Certificate Authority’s infrastructure. It is based on the usage of the private key, which establishes a valid connection when it is associated with the corresponding certificate. This initiates an authentication process called a handshake between two communicating devices to ensure that both devices are really who they claim to be. SSL also digitally signs data in order to provide data integrity, verifying that the data is not tampered with before reaching its intended recipient.

该技术源自SSL证书和证书颁发机构的基础结构的概念。 它基于私钥的用法,当私钥与相应的证书关联时,私钥将建立有效的连接。 这会在两个通信设备之间启动称为握手的身份验证过程,以确保两个设备确实是他们声称的真实身份。 SSL还对数据进行数字签名,以提供数据完整性,并在到达目标收件人之前验证数据是否被篡改。

TLSSSL之间的区别 (Difference between TLS and SSL)

TLS (Transport Layer Security) is a successor to SSL.

TLS (传输层安全性)是SSL的后继产品。

It’s more improved and secure version of SSL. Although the SSL protocol was deprecated with the release of TLS 1.0 in 1999, it is still common to refer to these related technologies as “SSL” or “SSL/TLS.” Hence, we use the term SSL Pinning. The most current version is TLS 1.3, defined in RFC 8446 (August 2018).

它是SSL的改进和安全版本。 尽管在1999年TLS 1.0发行版中不赞成使用SSL协议,但将这些相关技术称为“ SSL”或“ SSL / TLS”仍然很普遍 因此,我们使用术语SSL固定。 最新版本是RFC 1.3446 (2018年8月)中定义的TLS 1.3

什么是SSL固定以及如何实现? (What is SSL Pinning and how to achieve it?)

SSL pinning is a process of associating a host with their expected X509 certificate or public key. Once a certificate or public key is known or seen for a host, the certificate or public key is associated or ‘pinned’ to the host. If more than one certificate or public key is acceptable then advertised identity must match one of the elements in the certificate chainset. This allows the application to trust only the valid or pre-defined certificates or public Keys. We should use SSL pinning technique as an additional security layer for application traffic and to validate the remote host’s identity. If we do not implement SSL Pinning, application trusts custom certificate and allows proxy tools to intercept the traffic.

SSL固定是将主机与其预期的X509证书公钥相关联的过程 一旦知道或看到了主机的证书或公钥,便会将证书或公钥关联或“固定”到主机。 如果可以接受多个证书或公钥,则公告的身份必须与证书链集中的元素之一匹配。 这允许应用程序仅信任有效或预定义的证书或公共密钥。 我们应该使用SSL固定技术作为应用程序流量和验证远程主机身份的附加安全层。 如果我们未实现SSL Pinning ,则应用程序将信任自定义证书,并允许代理工具拦截流量。

This can be achieved in 3 ways — Certificate Pinning, Public Key Pinning & Hash Pinning.

这可以通过3种方式实现- 证书固定,公钥固定和哈希固定。

最低0.47元/天 解锁文章
weixin_26739079
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android证书有效性验证方案
我的专栏
09-30 3220
SSL劫持攻击: 目前虽然很多Android APP使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息,攻击示意图如下:
Android使用SSL自签名证书
zxm317122667的专栏
11-08 5448
一般情况下公司都是通过CA机构来购买SSL证书,但是这种证书费用普遍比较贵,所以在debug环境下可以考虑使用自签名证书。这篇内容将介绍Android如何使用自签名证书,主要分为以下4个步...
HTTPS 原理浅析及其在 Android 的使用
2301_78145669的博客
06-12 1286
在App,把服务端证书放到资源文件下(通常是asset目录下,因为证书对于每一个用户来说都是相同的,并且也不会经常发生改变),但是也可以放在设备的外部存储上。// 在这里进行服务器正式的名称的配置@Overridei++) {try {try {复制@Overridetry {try {复制。
OPENSSL与KeyStore
DavyJonesWang的专栏
11-09 5062
1、OpenSSL实践 工作需要配置使用SSL来双向认证并通信的FTP服务器,以OpenSSL和Java的keytool为例,来完成证书的制作: d:/openssl/mkcerts>openssl genrsa -out ca.key 1024 创建CA私钥 Loading 'screen' into random state - done warning, not mu
Android实现SSL Socket双向认证
走马川行雪的博客
01-04 4881
1、生成服务端密钥 2、生成服务端证书 3、生成客户端密钥 4、生成客户端证书 5、将server端证书添加到serverTrust_ks.jks文件 6、将client端证书添加到clientTrust_ks.jks文件 (以上生成过程详见:https://blog.csdn.net/weixin_43192102/article/details/122214603) 7、将jks密钥转换为bks格式密钥(因为Android只支持.bks格式的密钥文件) ...
ssl_android.zip_TLS_android_android ssl_application_ssl/tls
09-20
Android平台上,SSL/TLS被广泛应用于移动应用程序,以确保用户数据的隐私和完整性。本篇文章将深入探讨Android应用程序如何利用SSL/TLS进行安全通信。 一、SSL/TLS协议基础 SSL/TLS协议的主要目的是为网络通信...
Android-SSl.zip_WebView_android_sentencevpr_sslpinning_todayrxi
09-15
在“Android-SSl.zip”这个压缩包,可能包含了实现这些步骤的示例代码或者工具,帮助开发者快速集成SSL Pinning到他们的`WebView`应用。为了深入理解并实践这些概念,你需要解压文件并查看其的内容,包括可能...
Instagram_SSL_Pinning:在Instagram Android应用绕过SSL固定
02-25
弃用:使用Facebook白帽设置Instagram_SSL_Pinning 绕过Instagram SSL锁定ARM and X86 注意:延迟一分钟后可能会显示第一个请求警告:使用此补丁后,任何人都可以拦截您的请求根方法: 从Apkmirror下载Instagram APK...
android_webview_ssl p12
01-11
Android,我们可以使用X509TrustManager和X509Certificate来处理自定义SSL证书。以下是一些关键步骤: 1. **创建自定义TrustManager**: 首先,我们需要创建一个自定义的X509TrustManager,它会忽略SSL证书...
Android访问证书有问题的SSL网页的方法
09-04
总结来说,Android的`WebView`在遇到SSL证书问题时会阻止加载,但通过自定义`WebViewClient`并忽略SSL错误,我们可以让`WebView`加载这些页面。不过,这种做法应当谨慎使用,因为忽略了SSL错误可能会降低应用的...
Android 抓包相关 SSL相关
不会写代码的丝丽
02-01 1682
因此在Android P基本很少能能抓取http请求,多数以https为主。Android 7以上系统默认会让App不信任默认用户证书,只信用系统证书。默认情况我们只能导入用户证书,系统证书导入需要一些root权限。如下图所示导入的charles证书。如果你有root权限直接导入系统证书即可:如笔者次目录下的用户证书(2) 将证书文件拷贝到系统证书目录举例命令如果出现,重新挂载分区(android 8以上版本请关闭dm-verity以及avb在尝试网上重新挂载命令)。
https 与android证书
lishiyu_hebei的博客
04-12 658
1.https 简述        http 就是我们平时浏览网页时候使用的一种协议,http协议传输的数据是未经加密的,也就是明文,因此,使用http协议传输隐私信息是不安全的。http 使用80 端口。        https是一种安全的网络协议,使用的是443端口,在网络上,https 经由http协议进行通信,但是利用SSL/TLS来进行对数据包的加密。https 的最重要目的就是提供对...
ssl证书验证绕过抓包
最新发布
qq_63980959的博客
02-26 1246
在实际环境,可能会遇到抓不到包的情况,有可能是因为app有双向ssl证书验证机制,导致无法抓包,那么便需要一些操作来绕过该验证机制。
Android APP之WebView如何校验SSL证书
06-24 766
请参考以下代码,原理是:如果webview报告SSL错误,程序将会对服务器证书进行强校验,如果服务器传入证书的指纹(sha256)与记录值一致,说明webview验证过程存在缺陷(如:手机日期错误、根证书被删除 等),忽略SSL错误;SSL错误的处理方式十分关键,如果处理不当,可能导致间人攻击,黑客窃听数据,进而引发安全事故。如果APP需要访问多张证书,请在代码加入多个证书指纹数值。在测试代码时,请将手机日期设置在证书有效期之前,判断WebView是否能正常访问HTTPS站点。
android ssl认证,Android上的两种方式SSL身份验证
weixin_35795357的博客
05-27 672
private boolean connect(){try{KeyStorekeystore=KeyStore.getInstance("BKS");//Storesthe client certificate,to be sent to serverKeyStoretruststore=KeyStore.getInstance("BKS");//Storesthe server certific...
Android上的SSL连接错误的原因及解决方法
SSL加密技术
01-22 7652
在本文,我们将讨论SSL连接错误的原因及解决方法。在此之前,我们需要对SSL证书有所了解。SSL对发送到Web的信息进行编码,从而防止第三方窃听。在这种情况下,只有具有私钥的接收者才能解密通信。 1、Android设备上SSL连接错误的原因: 1)系统的时间可能无效。这意味着Android时间和浏览器时间不匹配; 2)防火墙可能阻止了网站和IP地址; 3)cookie和缓存没有及时清除; 4)网站服务器上可能错误地安装了传输层安全性(TSL)和安全套接字层(SSL); 2、Android上的
android使用ssl与服务端进行通信
tanpf123的博客
08-28 2894
前言: SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。 而默认情况下,java利用的是TLS和JKS密库,而android则使用规定的BKS密库。 1.生成服务端JKS秘钥与证书指令 keytool -gen...
ssl 双向验证 Android,android上的双向SSL认证
weixin_32889145的博客
05-29 665
我试图在Python服务器和Android客户端应用程序之间实现双向SSL身份验证。我可以访问服务器和客户端,并希望使用自己的证书实现客户端身份验证。到目前为止,我已经能够验证服务器证书并在没有客户端身份验证的情况下进行连接。在客户端需要什么类型的证书?在握手过程,如何让它自动发送到服务器?这是我目前为止得到的客户端和服务器端代码。我的方法错了吗?在服务器代码while True: # Keep...
android webview 访问 HTTPS ERR_SSL_PROTOCOL_ERROR
05-10
出现 ERR_SSL_PROTOCOL_ERROR 错误通常是由于 SSL/TLS 协议版本不匹配导致的。这可能是由于 Android 系统版本过低,不支持网站使用的 SSL/TLS 协议版本或加密算法。 解决方法如下: 1. 确认 Android 系统版本是否支持网站使用的 SSL/TLS 协议版本或加密算法。如果不支持,建议升级 Android 系统版本。 2. 在 WebView 设置支持使用的 SSL/TLS 协议版本或加密算法。可以通过 WebView 的 setWebViewClient 方法设置 SSL/TLS 配置: ```java webView.setWebViewClient(new WebViewClient() { @Override public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) { // 忽略 SSL 错误,继续加载页面 handler.proceed(); } }); ``` 在 onReceivedSslError 方法,可以忽略 SSL 错误并继续加载页面。但这样做会降低安全性,不建议在正式项目使用。 3. 如果以上方法都无法解决问题,建议联系网站管理员,确认网站的 SSL/TLS 配置是否正确。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值