SSL校验证书绑定(ssl pinning)

最新推荐文章于 2024-07-02 07:51:42 发布
最新推荐文章于 2024-07-02 07:51:42 发布
阅读量1.3w 收藏 10
点赞数 1
分类专栏: 技术方案 文章标签: ssl android 证书绑定
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xwh_1230/article/details/78111411
版权

引言

起因:帮助别人解决问题,给我发来了这么一段内容:

在客户端安装并信任第三方证书通过中间人数据抓包可以解密HTTPS 加密流量,获取交易登陆身份认证等流量的明文信息,存在隐私泄漏风险,涉及组件:okhttp。
漏洞危害:在android 上通过浏览器点击可以安装证书。如受害者使用恶意的无线网络,并被诱导安装了根证书,同样存在将SSL 流量被解密的风险,进而窃取交易密码等敏感信息。

1. 漏洞解释

上面引言部分是检测机构写的报告中的部分,像老奶奶的裹脚布一样,又臭又长,我也是看了半天才看懂。

1.1 解释

如果用户被恶意网络诱导安装并信任了某个证书,而这个网络中持有这个证书的某个恶意程序就可以充当中间人的角色,在建立ssl连接的时候就可以劫持用户流量,获取到一些关键信息。

1.2 前提

这里需要注意的是,中间人的角色需要伪造为服务器端。如果服务器开启了双向验证,那中间人是劫持不了的,不过一般都不会开双向认证,除非真的有必要。

  • 未开双向认证
  • 未做证书绑定

2 解决方案

这个漏洞我们的解决方案是证书绑定,把服务器证书预置到本地,校验服务器证书环节去比较,不一样就抛出证书校验出错异常,在网络请求的回调中就会走Error,在Error回调中去统一处理。

2.1 代码说明

本地使用了鸿洋的http请求库:okHttpUtils
okhttp相关文章:okhttp相关文章
因为原先的HttpsUtils代码中是忽略处理的,所以我们需要把源码放到代码中,然后修改使用。

2.2 okHttpUtil代码处理

checkServerTrusted方法中取出证书链中对应网站的证书(也就是第一个),和预置的证书去判断是否相同,如果不同则抛出异常。
这里可以不校验证书,只校验证书的部分信息(其实,安装了openssl环境的话,基本上所有服务器的ssl证书都能拿到,所以安全性问题不存在的~~)

这里写图片描述

2.2.1 openssl获取服务器证书

这里不作说明,自行百度

这里写图片描述

2.3 客户端代码处理

因为懒,所以截个图吧.
1. 在启动的时候给httpClient设置sSLSocketFactory,用来去校验服务器或者客户端证书(如果服务器证书是CA的话,你不做证书绑定校验,是会默认通过的,因为你的证书链中是认证过的了)
2. 把服务器端证书导出为PEM格式,以常量形式预置到客户端,然后解析为Certificate对象,在校验时使用。

这里写图片描述

听风丨说话
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Android 7.0+抓包https突破ssl-pinning方案抓包插件.zip
03-17
Android 7.0+ 抓包https方案,突破ssl-pinning 使用方法:https://blog.csdn.net/u014644574/article/details/104930877
iOS SSL Pinning 保护你的 API
weixin_34250434的博客
07-09 323
随着互联网的发展,网站全面 https 化已经越来越被重视,做为 App 开发人员,从一开始就让 API 都走 SSL 也是十分必要的。但是光这样就足够了吗? SSL 可以保护线上 API 数据不被篡改,但是防不了别有用心的发现你们 API,然后写脚本做一些事情。   Charles 的 SSL 代理 具体如何查看 SSL 的请求呢?可以使用 Charles 的 SSL 代理功能。 准备...
一文读懂SSL认证全解析
sunxunyong的博客
07-02 1019
storepasswd 修改keystore口令 keytool -storepasswd -keystore e:/yushan.keystore(需修改口令的keystore) -storepass 123456(原始密码) -new yushan(新密码)-export 将别名指定的证书导出到文件 keytool -export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书位置及证书名称 -storepass 密码。
SSL Pinning
wangzp的博客
10-19 1010
SSL Pinning 可真是难倒我了啊SSL Pinning,一直沉迷于Android 和 ios 黑科技的我,最近被SSL绊住了,学习了一阵子,了解了一些东西。 给一个连接,如果有和我同样问题的同学, 参考文章: 第一个文章 第二个文章 自己学习吧 ...
使用SSL Pinning 阻止中间人攻击
weixin_34291004的博客
05-31 1459
问题: 我们可以使用Charles抓https的包,原理是利用中间人攻击,所以app的请求并不是安全的。怎样避免Charles抓https的包呢?答案是:SSL Pinning 中间人攻击的原理 伪造信任证书,对客户端充当服务器,对服务器充当客户端。 SSL Pinning 的原理 在客户端内置服务器的证书或者公钥,客户端连接服务器时,对比内置证书或公钥是否与服务器的证书或公钥一致,不一致则...
SSL Pinning札记
oaimgo的博客
10-09 1299
关于SSL Pinning都在这里了
android ssl证书验证
11-15
6. **SSL Pinning**:为了进一步增强安全性,开发者还可以实施SSL Pinning。这是一种防止中间人攻击的技术,通过在应用中硬编码服务器证书或其公钥,确保应用只接受预期的证书,从而防止伪造证书。 7. **处理证书链...
SSLPinning:HttpURLConnection SSL固定
05-11
SSLPinning HttpURLConnection透过凭证绑定方式作连线,在这是绑定的凭证,当使用Proxy(Ex. )拦截传输内容时会无法正常连线。 Network Security Config Android API 24以后才有的机制,利用script/cert.sh取得网站...
Android-SSl.zip_WebView_android_sentencevpr_sslpinning_todayrxi
09-15
SSL Pinning,或者称为证书固定,是一种强化网络通信安全性的技术,特别是对于移动应用来说。它通过在应用中硬编码特定的信任证书或公共密钥,确保与服务器的通信只能发生在预期的、安全的证书之间。这防止了攻击者...
Instagram_SSL_Pinning:在Instagram Android应用中绕过SSL固定
02-25
弃用:使用Facebook白帽设置Instagram_SSL_Pinning 绕过Instagram SSL锁定ARM and X86 注意:延迟一分钟后可能会显示第一个请求警告:使用此补丁后,任何人都可以拦截您的请求根方法: 从Apkmirror下载Instagram APK...
Xposed+绕过SSL Pinning
最新发布
07-27
Xposed+绕过SSL Pinning
react-native-ssl-pinning:在(Android)上基于okhttp3响应本机ssl固定和cookie处理。 和iOS上的AFNetworking
05-10
React原生SSL固定 使用Android的OkHttp 3和iOS的AFNetworking进行React-Native ssl固定和公钥固定。 笔记: 对于RN 0.60.0或更高版本,请使用react-native-ssl-pinning@latest 入门 $ npm install react-native-ssl-pinning --save 大多是自动安装 如果您使用的是React Native 0.60.+。 在iOS中运行pod install $ react-native link react-native-ssl-pinning 手动安装 的iOS 在XCode的项目导航器中,右键单击“ Libraries ➜ Add Files to [your project's name] 转到node_modules react-native-ssl-pinni
某音短视频APP 最新版(21.8)SSL PINNING 绕过
热门推荐
Sajor的博客
05-12 1万+
某音短视频APP 最新版 21.8 抓包方案
ssl pining_通过android上的ssl pining保护您的https连接
weixin_26745383的博客
09-17 454
ssl piningWelcome to this serie of articles about Android Security and how you can improve tremendously the protection of your users, by implementing 3 things that provide a great effort/safety ratio....
绕过 Android SSL Pinning
WLANQY的博客
02-12 557
转载请注明出处。请前往 Tiga on Tech查看原文以及更多有趣的技术文章。SSL Pinning 指的是,对于 target sdk version > 23 的 Android App,App 默认指信任系统的根证书或 App 内指定的证书,而不信任用户添加的第三方证书
证书锁定SSL Pinning
RealGUO的博客
10-27 902
在公共网络中通知我们使用安全的SSL/TLS通信协议来进行通信,并且使用数字证书来提供加密和认证我们知道握手环节仍然面临(MIM中间人)攻击的可能性,因为CA证书签发机构也存在被黑客入侵的可能性,同时移动设备也面临内置证书被篡改的风险。证书锁定旨在解决移动端APP与服务端通信的唯一性实际通信过程中,如果锁定过程失败,那么客户端APP将拒绝针对服务器的所有 SSL/TLS 请求FaceBook/Twitter则通过证书锁定以防止Charles/Fiddler等抓包工具中间人攻击。
chatGPT与逆向的相遇,快速解决sslpinning抓包问题
zxc979647835的专栏
04-09 4149
这是一款金融类型的安卓app,有着root检测,与sslpinning校验,并且带有壳。接下来咱们看看该怎么去分析。众所知周,要分析一款app抓包只是第一步。偏偏是第一步就难倒不少人,本文只做知识要点记录,均会脱敏处理。大佬们轻喷。
爬虫技术必会技能,不知道ssl-pinning是啥?那你Out了!
qq_38780765的博客
07-30 1722
导航发现问题HTTPS中间人攻击ssl-pinning突破ssl-pinning总结 发现问题 在使用charles对FaceBook/Twitter进行抓包时,所有的请求最终都失败了。第一感觉是手机上安装的HTTPS证书被删除了,到设置中检查发现证书没有问题,手机上其它APP的https请求也能够正常抓取。看来应该是碰到新情况了,Google了下,了解到FaceBook/Twitter等应用使用了一种名叫ssl-pinning的技术来防止中间人攻击。 HTTPS 这张图比较形象地道出了HTTPS实际上是
【网络安全】https与证书原理 | SSL Pinning及其绕过
Juruo@Security
08-05 8136
SSL Pinning | https协议与证书原理
so层修改sslpinning
07-27
一种常见的方法是通过Hook函数来修改SSL pinning的检查逻辑,绕过证书校验,从而绕过SSL pinning的保护。 具体实现的步骤如下: 1. 定位到SSL pinning相关的检查函数,常见的包括SSL_CTX_set_verify、SSL_get_...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值