Android HTTPS中间人劫持漏洞浅析

最新推荐文章于 2024-04-26 18:40:57 发布
最新推荐文章于 2024-04-26 18:40:57 发布
阅读量1.9k 收藏
点赞数 1
文章标签: android 密码学 计算机

作者:行里

1. Android HTTPS中间人劫持漏洞描述

在密码学和计算机安全领域中,中间人攻击 ( Man-in-the-middle attack,通常缩写为MITM )是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容[1]。
Android HTTPS中间人攻击漏洞源于:1没有对SSL证书进行校验;2没有对域名进行校验;3. 证书颁发机构(Certification Authority)被攻击导致私钥泄露等。攻击者可通过中间人攻击,盗取账户密码明文、聊天内容、通讯地址、电话号码以及信用卡支付信息等敏感信息,甚至通过中间人劫持将原有信息替换成恶意链接或恶意代码程序,以达到远程控制、恶意扣费等攻击意图。
在乌云漏洞平台上,有大量存在HTTPS证书不校验漏洞,例如国内绝大部分Android APP存在信任所有证书漏洞[2]、亚马逊最新官方android版存在一处信任所有证书漏洞[3]、Yahoo雅虎在国内访问遭遇SSL中间人攻击[4]、携程旅游网最新android客户端https未校验证书导致https通信内容完全被捕获[5]。

2. Android HTTPS中间人攻击漏洞影响范围

Android系统

3. Android HTTPS中间人攻击漏洞详情

1) 中间人攻击漏洞位置:

  • X509TrustManager
  • HostnameVerifier
  • setHostnameVerifier (X509HostnameVerifier hostnameVerifier)

2) 漏洞触发前提条件:

  • 自定义的X509TrustManager不校验证书;
  • 或实现的自定义HostnameVerifier不校验域名接受任意域名;
  • 或使用setHostnameVerifier (ALLOW_ALL_HOSTNAME_VERIFIER);

3) 漏洞原理:

由于客户端没有校验服务端的证书,因此攻击者就能与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容[1]。

4. Android HTTPS中间人攻击漏洞证明

1) 客户端不校验SSL证书(包含签名CA是否合法、域名是否匹配、是否自签名证书、证书是否过期)包含以下几种编码错误情况:

a. 自实现的不校验证书的X509TrustManager接口的Java代码片段 (其中的checkServerTrusted()方法实现为空,即不检查服务器是否可信):
这里写图片描述

b. 不检查站点域名与站点证书的域名是否匹配的Java代码片段:
这里写图片描述
c. 接受任意域名的Java代码片段:

SSLSocketFactory sf;
……
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

2)针对某个不校验SSL证书的客户端进行中间人攻击演示如下图所示,可通过中间人劫持获取到登录用户名和密码(该密码参数只是对明文密码进行了一次MD5):

这里写图片描述

5. Android HTTPS中间人攻击漏洞修复建议

1. 对SSL证书进行强校验

出于安全考虑,阿里聚安全建议对SSL证书进行强校验(签名CA是否合法、证书是否是自签名、主机域名是否匹配、证书是否过期等),详细修复方案请参照Google官方关于SSL的安全建议[6];

更多解决方案可以查看:
http://blog.csdn.net/xundh/article/details/53212312

引用

[1] http://zh.wikipedia.org/wiki/%E4%B8%AD%E9%97%B4%E4%BA%BA%E6%94%BB%E5%87%BB
[2] http://www.wooyun.org/bugs/wooyun-2010-079358
[3] http://www.wooyun.org/bugs/wooyun-2010-079350
[4] http://www.wooyun.org/bugs/wooyun-2010-080117
[5] http://www.wooyun.org/bugs/wooyun-2010-081966
[6] https://developer.android.com/training/articles/security-ssl.html

转载自阿里聚安全 :
http://jaq.alibaba.com/community/art/show?spm=a313e.7975615.40002100.9.3J8hVf&articleid=60

编程圈子
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php时间人性化展示
赛时科技
04-22 134
函数,用于将时间戳转换为人性化的时间差。该函数遍历了不同的时间单位,找到合适的单位来表示时间差,并返回相应的字符串。这样,你就可以根据需要将时间以人性化的方式展示给用户了。你可以根据具体需求调整时间格式和单位。函数将其格式化为"年-月-日 时:分:秒"的形式。然后,我们定义了一个。在上面的示例中,我们首先获取了当前的时间戳,并使用。函数来实现时间的人性化展示。函数将"-2 days"转换为时间戳),然后调用。最后,我们假设有一个过去的时间戳(这里使用。函数将其转换为人性化的时间差,并输出结果。
Android平台组件劫持漏洞的研究
02-22
Android平台组件劫持漏洞的研究
点击劫持漏洞案例ppt
01-02
点击劫持---clickjacking
HTTPS中间人攻击,HTTPS被抓包了怎么办?
热门推荐
ThinPikachu的博客
03-12 1万+
目录 一、写在前面 二、什么是中间人攻击 三、https 是绝对安全的吗 四、中间人攻击的初步了解 五、中间人攻击的深入了解 六、https 是如何防止中间人攻击的 SSL-Pinning 七、浏览器是如何确保CA证书的合法性? (1)证书包含什么信息? (2)证书的合法性依据是什么? (3)浏览器如何验证证书的合法性? 八、https 可以抓包吗 九、预置证书/公钥更新问题 一、写在前面 首先,当个位读者在看到这篇文章时,我默认大家已经对...
Android程序员面试必须要掌握的:Https加密原理、中间人攻击到底是怎么回事
m0_64604311的博客
12-08 438
2.客户端如何通过证书确定服务端的身份? 证明下面两点,(然后才可以使用证书上的公钥来加密生成Session key的随机数) 证明baidu.com这个证书确实是百度的 证明baidu.com这个证书没有被其他人攥改过 证书以证书链的形式组织,在颁发证书的时候首先要有根CA机构颁发的根证书,再由根CA机构颁发一个中级CA机构的证书,最后由中级CA机构颁发具体的SSL证书。 数字证书采用信任链验证。数字证书的信任锚(信任的起点)就是根证书颁发机构。根证书(root certificate)是一个无签
Android上的SSL连接错误的原因及解决方法
SSL加密技术
01-22 7429
在本文中,我们将讨论SSL连接错误的原因及解决方法。在此之前,我们需要对SSL证书有所了解。SSL对发送到Web的信息进行编码,从而防止第三方窃听。在这种情况下,只有具有私钥的接收者才能解密通信。 1、Android设备上SSL连接错误的原因: 1)系统中的时间可能无效。这意味着Android时间和浏览器时间不匹配; 2)防火墙可能阻止了网站和IP地址; 3)cookie和缓存没有及时清除; 4)网站服务器上可能错误地安装了传输层安全性(TSL)和安全套接字层(SSL); 2、Android上的
中间人劫持攻击
Bulldozer_GD的博客
11-02 2826
中间人劫持攻击 ,HTTPS在建立了TCP连接之后,会进行SSL握手(SSL Handshake)来校验证书,协商加密协议和对称加密的密钥,之后就会使用协商好的密钥来进行传输。所以HTTPS攻击一般分为SSL连接建立前的攻击,以及HTTPS传输过程中的攻击; 常见的HTTPS中间人攻击,首先需要结合ARP、DNS欺骗等技术,来对会话进行拦截, 1、SSL证书欺骗攻击 此类攻击较为简单常见。首先通过ARP欺骗、DNS劫持甚至网关劫持等等,将客户端的访问重定向到攻击者的机器,让客户端机器与攻击者机器建立HTTP
HTTPS的加密技术——中间人攻击
闲来垂钓碧溪上的博客
05-24 1373
https是基于http的一层加密技术,有两种加密方式,针对不同的数据传输可以使用不同加密算法结合使用,最常用也最安全的是双重加密技术,不过单独使用还是会有风险,对于中间人攻击这个算法也会被偷梁换柱,于是需要引入证书对症下药,以此来保障数据的安全性和完整性。
中间人攻击劫持cookie
ChenD的学习笔记
10-26 895
中间人攻击劫持cookie
Android平台https嗅探劫持漏洞
LVXIANGAN的专栏
03-19 4230
去年国内某机构网络安全中心在日常终端安全审计中发现,在Android 平台中使用 https 通讯的 app 绝大多数都没有安全的使用google 提供的 API,直接导致 https 通讯中的敏感信息泄漏甚至远程代码执行。 究其原因,开发者在使用代码开发测试自己产品的 https 功能时,会因无法通过 google API 的 https 证书合法性而发生多种类型的 h
Android中DNS域名劫持问题-解决方案
明哥
02-13 2523
前言 在客户端进行业务接口请求时,往往会在线上出现解析JSON响应内容失败而导致的应用崩溃,但是在实际开发测试过程中却没有遇到此问题。解决办法就是对JSON解析进行异常捕获,然后将实际响应内容上报到服务端,从而查看具体问题。对上报到服务端的实际响应内容进行分析后,发现响应内容变成各种HTML文本,以下是常见的几种: 1、安全DNS服务门户:Fortinet Secure DNS Service Portal <html> <head> <meta http-
Android平台组件劫持漏洞的研究.pdf
09-22
Android平台组件劫持漏洞的研究.pdf
Android Hijacking(安卓劫持
01-04
这里是Android Hijacking,该代码主要使用了Intent Hijacking。劫持了QQ,并且窃取用户的QQ账号和密码并上传到服务器上存储!该代码包括服务端PHP,和Android端。
Click Jacking点击劫持漏洞验证.pdf
12-25
本文详细讲解Click Jacking点击劫持漏洞原理及利用方式。该漏洞成功利用的关键就是能够将伪造的网页源码覆盖到目标页面上,并且在受害者不知情的情况下诱导进行操作,可将操作记录打印输出到控制台。攻击者也可通过...
关于MySQL Command Line Client 运行闪退问题解决,my.ini文件内容
最新发布
m0_67403773的博客
04-26 156
解决 Command Line Client 缺少my.ini文件内容,导致运行闪退问题问题
如何使用PHP进行图片处理?
Xs_layla的博客
04-26 168
如何使用PHP进行图片处理?使用PHP进行图片处理是一项强大的功能,它可以让你在服务器端对图像进行各种操作,如裁剪、缩放、添加水印、调整颜色等。这通常通过使用GD库或Imagick扩展来实现。下面将详细介绍如何使用PHP和这两个工具进行图片处理。
Android使用ProtoBuf 适配 gradle7.5 gradle8.0
wsdxho的博客
04-26 447
android 配置 protobuf插件 (gradle7.5 gradle8.0 适配)
TP8 利用jwt 生成token
m0_69254007的博客
04-26 136
使用Composer安装依赖库,终端切换到项目根目录输入如下。
OceanBase OLAP collation utf8mb4_bin 优先
余璜的技术博客
04-23 308
utf8mb4_bin是一种二进制的排序规则,比较字符串时直接比较字符串的二进制值,不需要进行复杂的字符比较和排序运算,这样可以有效减少CPU的使用,提高查询效率,特别是在涉及到大量数据操作时,性能优势更为明显。在大数据系统中,如无特别需要,建议 collation 指定为 utf8mb4_bin。
nginx点击劫持漏洞修复
05-10
点击劫持是一种常见的 Web 安全漏洞,攻击者会将一个网站嵌入到另一个网站中,通过隐藏或者伪装的方式,欺骗用户去点击一个看似无害的链接,从而实现攻击者的恶意目的。nginx 本身并没有针对点击劫持的专门防御机制,但是我们可以通过一些方法来修复这个漏洞: 1. X-Frame-Options 防御点击劫持 在 nginx 的配置文件中,可以通过设置 X-Frame-Options 来防御点击劫持。X-Frame-Options 是一个 HTTP 响应头,可以控制浏览器是否允许当前页面在 iframe 中展示。我们可以将其设置为 DENY,表示当前页面不能在 iframe 中展示,从而防止点击劫持攻击。示例配置如下: ``` add_header X-Frame-Options DENY; ``` 2. JavaScript 防御点击劫持 另外,我们还可以通过 JavaScript 来防御点击劫持。在页面中嵌入一个透明的 iframe,覆盖整个页面,当用户点击页面时,我们可以通过 JavaScript 判断点击事件的坐标是否在 iframe 内,如果是,则说明用户是在被劫持的页面中点击,我们可以将当前页面重定向到其他页面,从而避免被攻击。示例代码如下: ``` if (top != self) { top.location = self.location; } ``` 综上所述,我们可以通过 X-Frame-Options 和 JavaScript 来防御点击劫持漏洞。建议开发人员在开发过程中注意防范这种漏洞,以保障用户的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值