Android 安全--WebView不校验证书漏洞

最新推荐文章于 2024-06-26 14:16:29 发布
最新推荐文章于 2024-06-26 14:16:29 发布
阅读量6.3k 收藏 6
点赞数 1
分类专栏: # APP-Android 文章标签: ssl android 安全 继承 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xundh/article/details/53065788
版权

继承关系

java.lang.Object
继承者 android.os.Handler
继承者 android.webkit.SslErrorHandler

问题方法

cancel( )

停止加载问题页面

proceed( )

忽略SSL证书错误,继续加载页面

触发条件:
1. 调用SslErrorHandler类的proceed方法
【1】对应到smali语句中的特征:Landroid/webkit/SslErrorHandler;->proceed()V
2. 方法名:onReceivedSslError

Android WebView组件加载网页发生证书认证错误时,会调用WebViewClient类的onReceivedSslError方法,如果该方法实现调用了handler.proceed()来忽略该证书错误,则会受到中间人攻击的威胁,可能导致隐私泄露

修复

  1. 不调用android.webkit.SslErrorHandler的proceed方法
  2. 当发生证书认证错误时,采用默认的处理方法SslErrorHandler.cancel(),停止加载问题页面

Cordova问题代码

    public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {

        final String packageName = parentEngine.cordova.getActivity().getPackageName();
        final PackageManager pm = parentEngine.cordova.getActivity().getPackageManager();

        ApplicationInfo appInfo;
        try {
            appInfo = pm.getApplicationInfo(packageName, PackageManager.GET_META_DATA);
            if ((appInfo.flags & ApplicationInfo.FLAG_DEBUGGABLE) != 0) {
                // debug = true
                //handler.proceed(); 这里是问题代码
                handler.cancel();
                return;
            } else {
                // debug = false
                super.onReceivedSslError(view, handler, error);
            }
        } catch (NameNotFoundException e) {
            // When it doubt, lock it out!
            super.onReceivedSslError(view, handler, error);
        }
    }
编程圈子
关注
专栏目录
Android APP之WebView如何校验SSL证书
06-24 847
请参考以下代码,原理是:如果webview报告SSL,程序将会对服务器证书进行强校验,如果服务器传入证书的指纹(sha256)与记录值一致,说明webview验证过程存在缺陷(如:手机日期、根证书被删除 等),忽略SSLSSL的处理方式十分关键,如果处理不当,可能导致中间人攻击,黑客窃听数据,进而引发安全事故。如果APP需要访问多张证书,请在代码中加入多个证书指纹数值。在测试代码时,请将手机日期设置在证书有效期之前,判断WebView是否能正常访问HTTPS站点。
Android-应用安全
猿在古城的博客
07-04 611
​ 任何一款app,无论是开发过程中,或者应用上架等操作中,最先需要注意的就是我们自己应用的安全性。​APK文件的安全性是非常令人堪忧的。如何提升应用安全性?
androidwebView的https证书校验以及基于okhttp的接口https证书校验
答:略
03-11 1367
通过chrome浏览器拿到证书cer文件 获取证书公钥 public void readX509CerFile() { try { InputStream inStream = getAssets().open("ccc.cer"); // 创建X509工厂类 CertificateFactory cf = CertificateFactory.getInstance("X.509");
Android WebView实现Https证书单向校验
renzhongrui的博客
01-09 4283
本文主要讲解webview实现Https自制证书校验。 我们使用Androidwebview的时候会设置一个`WebViewClient`,而如果请求Https发生的时候,就会调用`WebViewClient`的`onReceivedSslError`方法
Android Https和WebView
最新发布
2401_85793237的博客
06-26 389
这里我希望可以帮助到大家提升进阶。Android学习PDF+架构视频+面试文档+源码笔记高级架构技术进阶脑图、Android开发面试专题资料,高级进阶架构资料这几块的内容。非常适合近期有面试和想在技术道路上继续精进的朋友。喜欢本文的话,不妨给我点个小赞、评论区留言或者转发支持一下呗~
Android webview手动校验https证书(by 星空武哥)
星空武哥的专栏
01-22 1万+
转载请标注原创地址:http://blog.csdn.net/lsyz0021/article/details/54669914    有些时候由于Android系统的bug或者其他的原因,导致我们的webview不能验证通过我们的https证书,最明显的例子就是华为手机mate7升级到Android7.0后,手机有些网站打不开了,而更新了webview的补丁后就没问题了,充分说明系统的
Android中使用Webview SSL 自签名CA证书安全校验方案
jsxin0816的博客
11-18 2886
Android中使用Webview SSL 自签名证书校验
Android_WebView安全攻防指南2020.pdf
08-11
以下是一份详细的Android WebView安全攻防指南,涵盖了WebView的攻击面、配置与使用、URL校验以及安全防御措施。 1. **WebView攻击面** - **JavaScriptInterface接口**:在Android 4.4之前,系统中的...
Android安全WebViewUXSS漏洞
09-21
### Android安全WebViewUXSS漏洞详解 #### 0X01 前言:XSS与UXSS概览 在网络安全领域,XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的攻击手段,它允许攻击者通过注入恶意脚本到网页中来窃取用户的数据...
xdef2014-flanker-Android应用漏洞攻与防1
08-04
Android应用的安全模型基于Linux的uid/gid进程隔离、权限机制、签名证书验证以及(在某些情况下)SELinux强化。然而,攻击者可以通过网络链路、本地应用、远程URL、ADB接口等多种途径寻找漏洞进行攻击,这与传统的...
Android漏洞安全总结
u012523122的专栏
02-27 7388
一.Activity 漏洞 越权绕过漏洞 原理:        没有对调用activity的组件进行权限验证,就会造成验证安全问题。 防护: 1.      私有activity是相对安全的,设置exported为false。 2.      公开activity应:谨慎处理接收的intent;返回数据不应包含敏感信息;不应发送敏感信息;收到返回数据时谨慎处理。   钓鱼欺诈劫...
Android静态安全检测 -> WebView忽略SSL证书检测
4lwin博客
06-21 1万+
WebView忽略SSL证书检测 - SslErrorHandler.proceed方法 1. API 继承关系 java.lang.Object android.os.Handler android.webkit.SslErrorHandler 主要方法 cancel( ) 停止加载问题页面 pro
android webview 跳过免费ssl证书验证
分享Android开发知识
03-20 1060
一、需求背景 当没有ssl证书的时候webview都会报,因此可以绕过ssl证书验证。 二、代码实现 class CustomWebView extends WebViewClient { @Override public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) { //忽略ssl,继续处理 handler.proceed(); }
android webview https 白屏,android 手机使用webview 白屏 ssl 不验证证书会有什么后果...
weixin_29467373的博客
05-26 150
满意答案Ronando2017.03.08采纳率:49%等级:8已帮助:116人webview.setWebViewClient(new WebViewClient() {@Overridepublic void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {if (error.getP...
OkHttp与WebView证书验证
weixin_41733225的博客
02-21 837
1、带证书验证 public class OkHttpManager { public static final String TAG = "OkHttpManager"; /** * CERT_ALIAS 证书别名 */ public static final String CERT_ALIAS = "NCB"; /** * 超时时间 */ public static final int CONNECT_TIME_OU
1.5、Webview SSL 自签名安全校验解决方案
lanxuan1993的博客
04-26 1006
​​​​​​Android Webview SSL 自签名安全校验解决方案 - 走看看 Android APP之WebView校验SSL证书的方法 - 云+社区 - 腾讯云 android webview 添加证书,Android webview手动校验https证书(by 星空武哥)_陈舟医生的博客-CSDN博客 WebView域名劫持问题以及自签名证书验证方式_沉睡的雄狮的博客-CSDN博客 Android WebView https白屏、Http和Https混合问题、证书配置和使用_一只农民.
Hook方式,绕过系统应用WebView安全性检查
wei.zheng BLOG
04-23 2022
1.问题 项目中是Launcher应用,需要用到WebView来做Hybrid开发,会出现如下问题。 如果是系统应用(uid == android.os.Process.SYSTEM_UID)使用WebView,则会抛出异常UnsupportedOperationException。 以下是android 8.0的源码 WebViewFactory#getProvider() static Web...
Android安全开发之WebView中的大坑
热门推荐
zhangcanyan的博客
07-17 2万+
0X01 About WebView      在Android开发中,经常会使用WebView来实现WEB页面的展示,在Activiry中启动自己的浏览器,或者简单的展示一些在线内容等。WebView功能强大,应用广泛,但它是天使与恶魔的合体,一方面它增强了APP的上网体验,让APP功能更多样化,另一方面它也引入了很多的安全问题。在过去几年WebView中被披露的重大漏洞包括了任意代码执行
android webview 加载https,访问不安全地址,设置为忽略证书
Wang_WY的博客
01-10 7578
        Webview 可以通过loadUrl(String url) 等方法加载网页。http 可以直接加载,但 https 是经过ssl 加密的,如果这个网站的安全证书Android无法得到认证,WebView加载的网页就会变成一个空白页,同时也不会弹出任何提示。但是我们可以通过设置下面的方法来忽略证书,从而去访问不安全的地址(比如https://inv-veri.chinatax....
解决Android WebView HTTPS证书校验问题
"Android webview手动校验https证书(by 星空武哥) - 解决Android系统bug导致的webview加载https证书问题" 在Android应用程序中,WebView组件常用于加载网页内容,包括HTTPS加密的网站。然而,由于Android系统的某些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

编程圈子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值