Https证书校验不当引起的安全问题

最新推荐文章于 2025-06-18 09:32:53 发布
最新推荐文章于 2025-06-18 09:32:53 发布
阅读量1.3w 收藏 8
点赞数 7
CC 4.0 BY-SA版权
分类专栏: http android 文章标签: android 安全 webview https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Hubert_bing/article/details/55258280

1. 使用Webview进行HTTPs通信

Android系统内置了一些可信机构办法的证书,可用于作HTTPs证书校验。实际上,使用Webview组件进行HTTPs通信,其证书验证环节也是系统默认会去做的。若发现证书不合法,Webview将显示一个空白页面,其错误在onReceivedSslError()这个方法里进行处理。使用Webview进行HTTPs通信应当遵循如下安全规范:
1) onReceivedSslError()方法里不能简单地用proceed()方法进行处理,建议给用户一定的提示(如“SSL证书错误,是否继续连接”等)。
这里给出错误的代码示例。

public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error){
    // 只简单地调用proceed()方法,忽略证书错误问题
    paramSslErrorHandler.proceed();
}

一般来说,使用Webview连接带有可信机构颁发证书的HTTPs站点,onReceivedSslError()方法里无需作任何处理(系统默认是拒绝连接的),这里给出正确的示例代码。

public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error){
    // Do nothing
    // 效果同 paramSslErrorHandler.cancel();
}

2. X509TrustManager

X509TrustManager用于实现SSL证书的安全校验,若使用不当,将导致APP对SSL证书不作校验,从而使黑客有了中间人攻击的可乘之机。开发者经常犯的错误有如下:
 自定义X509TrustManager,且不做任何校验逻辑,一般为空实现;
这里给出常见的自定义X509TrustManager的错误示例代码(以使用HttpsURLConnection进行HTTPs连接的情况为例)。

SSLContext localSSLContext = SSLContext.getInstance("TLS");
TrustManager[] arrayOfTrustManager = new TrustManager[1];
// 自定义X509TrustManager
arrayOfTrustManager[0] = new MyTrustManager();
localSSLContext.init(null, arrayOfTrustManager, new SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(localSSLContext.getSocketFactory());
HttpsURLConnection localHttpsURLConnection = (HttpsURLConnection) new
URL(paramString).openConnection();
……
class MyTrustManager implements X509TrustManager{
   
   
    // 不作任何校验
  public void checkClientTrusted(X509Certificate[] paramArrayOfX509Certificate, String paramString) {}
        // 不作任何校验
    public void checkServerTrusted(X509Certificate[] paramArrayOfX509Certificate, String paramString) {}
    // 返回null
    public X509Certificate[] getAcceptedIssuers(){
        return null;
    }
}

使用上述方式进行HTTPs通信,将存在中间人攻击的可能。由于缺乏证书校验机制,黑客可以通过使用自签名证书,结合DNS欺骗,使用户访问恶意页面。因此,使用HttpsURLConnection或HttpClient进行HTTPs通信时,需要验证证书的合法性。这里把HTTPs站点作分类:
A. 带有可信机构颁发证书的HTTPs站点;
B. 带有自签名证书的HTTPs站点。
对于A类站点,可借助Android系统自带的证书校验机制,开发者无需自己实现任何代码;对于B类站点,则需要把证书文件内置到apk中,根据证书keystore得到用于校验证书内容的TrustManager,并设置在SSLContext当中。
使用HttpsURLConnection或HttpClient进行HTTPs通信,需要遵循如下安全规范:
1) 访问A类站点时,不要自定义X509TrustManager;
2) 访问B类站点时,把证书文件打包到apk中,并根据证书的keystore生成TrustManager。
这里给出使用HttpsURLConnection访问A类站点时的示例代码。

SSLContext localSSLContext = SSLContext.getInstance("TLS");
// 不要自定义X509TrustManager
localSSLContext.init(null, null, new SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(localSSLContext.getSocketFactory());
HttpsURLConnection localHttpsURLConnection = (HttpsURLConnection) new
URL(paramString).openConnection();
这里给出使用HttpsURLConnection访问B类站点时的示例代码。
// 根据证书文件生成keystore
private KeyStore certTrusted(Context context) throws Exception {
    // 从资源文件中获取.cer证书文件
       AssetManager am = context.getAssets()
最低0.47元/天 解锁文章

200万优质内容无限畅学
18、高级安全技术:证书部署与入侵检测全解析
herb5的博客
06-23 20
本文深入解析了高级安全技术中的证书部署与入侵检测方法。内容涵盖证书的部署流程、配置文件的使用、中间证书的作用、证书格式及其转换、自签名证书和通配符证书的创建,以及入侵检测工具如 RPM、AIDE 和 netfilter 的应用。通过这些技术,可以有效保障网络服务的安全性并及时发现系统入侵行为。
高空之眼:无人机信息安全的隐忧与应对
m0_71322636的博客
01-09 1863
此外,国际社会将进一步加强在无人机信息安全领域的合作与交流,共同制定统一的安全标准和规范,促进无人机技术的全球安全发展,推动无人机在各个领域的广泛应用和健康发展,为人类社会的进步和发展做出更大的贡献。同时,无人机所搭载的应用程序,如用于图像采集、数据处理、飞行规划等的软件,也可能存在漏洞,攻击者可以利用这些漏洞篡改应用程序的功能,使其执行恶意操作,例如在图像采集过程中植入恶意代码,将采集到的图像数据偷偷传输给第三方,或者修改飞行规划数据,使无人机飞向危险区域,对无人机的安全和用户的隐私造成严重威胁。
HTTPS站点不安全?SSL证书不做背锅侠
huitest的博客
02-18 2553
SSL证书在保护网站数据传输上起到了至关重要的作用,它的存在让网站访问者在访问浏览器时留下的信息和数据不被窃取、篡改和监听,让访客们访问网站时非常放心、非常安心,使网站由明文传输式的http变成数据加密的https站点。但是用户们却发现,在访问一部分https站点时,浏览器依旧会提示不安全,难道是 SSL证书问题吗,是不是 SSL证书已经不能很好地保护我们的安全了呢?环度小编总结了以下几方面的原因。 1,SSL证书与网站域名不匹配 这种情况通常是您申请的SSL证书书类型与域名不匹配,如果您个人网站申请
你并不在意的 HTTPS 证书吊销机制,或许会给你造成灾难性安全问题
涛哥聊Python
02-01 2199
鼠年大吉HAPPY 2020'S NEW YEAR来源:安全客地址:https://url.cn/5WvQjVs本文仅作学术分享,若侵权,请联系后台删文处理缘起偶刷《长安十二时辰...
HostnameVerifier证书校验
yeshen.org
06-18 457
HostnameVerifier
WebViewonReceivedSslError()方法
lyl0530的博客
01-20 1万+
Android应用中WebView访问https SSL证书网页时,Google Play 总是报 WebViewonReceivedSslError 错误。为避免谷歌安全警告,要重写WebViewonReceivedSslError方法,此时要弹框提示用户,是否忽略SSL错误,继续访问网页。 @Override public void onReceivedSslError(WebVi...
Android webView加载成功与失败回调,重新加载,onReceivedError、onReceivedSslError、onPageFinished、onProgressChanged
热门推荐
qq_37980878的博客
10-20 1万+
webView提供了多种网页加载的回调 1.onPageStarted 开始加载 2.onPageFinished 加载完成 3.onReceivedError 加载失败 4.onReceivedSslError 加载证书错误网页失败 5.onProgressChanged 网页加载进度 一、加载证书错误网页 如果是证书错误的网页,比如www.baidu123.com,在window浏览器上打开后显示如下提示的网页,是不会调用onReceiv...
Google上架因为WebView被拒
Gufra_Yin的博客
04-23 2010
原因:在WebViewClient的回调方法onReceivedSslError里只单纯的写了handler.proceed();没给出明确的原因 两种解决方法: 1、去掉WebViewClient的回调方法onReceivedSslError 2、修改onReceivedSslError如下所示 @Override public void onReceivedSslError(...
电能表现场校验培训考试题答案参照.pdf
11-30
此外,检定人员需要熟悉电能表检定装置的原理和性能,掌握操作规程,持有计量检定人员证书,并且在工作中应遵守《电业安全工作规程》。不合理的计量方式包括电流互感器变比过大导致电能表低负荷运行、电能表与其他...
网络安全复习题.doc
最新发布
06-29
随着计算机网络的发展,网络安全问题越来越受到重视,涵盖了众多的安全技术和管理策略。 在网络攻击方式中,被动攻击指的是攻击者在不干扰网络正常工作的情况下,进行信息的监听和窃取。例如,口令嗅探是被动攻击的...
webview报SSl证书问题
Z_Try的博客
09-14 990
webview报ssl证书问题显示空白页
Android SSL证书验证原理
08-25
Android SSL验证原理
Android webview加载https链接错误或无响应的解决
08-19
主要介绍了Android webview加载https链接错误或无响应的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
解决HostnameVerifier警告
Alrey的博客
09-24 5676
前言 今天邮箱收到一封官方的邮件,关键内容如下 一个HostnameVerifier警告,说限期不修复就会下架 Help Center 解决方案 如果你和我一样不知道HostnameVerifier是个什么东西,且确认自己没有用过这玩意儿,且项目里也没有这个东西(建议全局搜索一下HostnameVerifier),那么就能确定这个警告肯定是由于第三方库所引发的,这就需要你到你谷歌应用控制台去看看警告的详情信息(一般会在提醒列表里),google一般会告诉你是那个类触发了这个警告 查看谷歌控制台后,看到了如
Android通信安全HTTPS
2301_78835635的博客
11-11 2599
在使用HttpsURLConnection发起 HTTPS 请求的时候,提供了一个自定义的X509TrustManager,未实现安全校验逻辑,下面片段就是当时新浪微博 sdk 内部的代码片段。如果不提供自定义X509TrustManager,代码运行起来可能会报异常(原因下文解释),初学者就很容易在不明真相的情况下提供了一个自定义的X509TrustManager,却忘记正确地实现相应的方法。本文重点介绍这种场景的处理方式。//do nothing,接受任意客户端证书
ssl证书合并_APP优雅进行SSL证书校验——(一)服务器篇
weixin_39738273的博客
12-05 626
前言本方案不会导致证书更换时候APP停服。因为:APP不做证书完整校验。只做公钥校验;服务器续费证书时候,不更换私钥,所以公钥不变动;客户端可以继续认可新版证书。本方案的收益:证书可以续费,可以和WEB端业务走同一个域名。APP一旦走了抓包(HTTPS的抓包),将会产生一个临时证书,与内置的公钥摘要不匹配,将会直接报错。很大程度上保证了APP的API请求不被截获篡改。再结合一些混淆服务,让dex文...
Android证书有效性验证方案
我的专栏
09-30 3629
SSL劫持攻击: 目前虽然很多Android APP使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息,攻击示意图如下:
2020-08-24问题待解决:Java.lang.NoSuchFieldError: No static field INSTANCE of type
Hogwarts
08-24 1544
依赖了一个第三方的包 implementation 'org.cups4j:cups4j:0.7.6' 这个包又去依赖了一个HttpClient包 <dependency> <groupId>org.apache.httpcomponents</groupId> <artifactId>httpclient</artifactId> <version>4.5.2</version&gt
服务器调用https缺少证书,Https自定义证书引入问题(2)
weixin_29454359的博客
07-31 1825
上一篇介绍接口使用https并且证书是自签的情况下,如何在客户端信任服务器证书,没有看过的请移步1.Webview加载https问题1.1 最简单的方式,助各位大佬一秒脱坑自定义证书https地址在加载时会进入onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) 方法,前提是自定义webviewClie...
部署deepseek大模型时tls证书验证失败
01-30
### 解决部署 DeepSeek 大模型过程中遇到的 TLS 证书验证失败问题 #### 可能原因分析 TLS 证书验证失败通常由以下几个常见因素引起: - **自签名证书或不受信任的 CA**:如果使用的服务器端证书是由内部 CA 或者自行签发,则客户端默认不会信任该证书[^1]。 - **过期或不匹配域名的证书**:当证书已过有效期或是通配符证书与实际访问地址不符时,也会触发此类错误。 - **网络代理干扰**:某些企业环境下的 HTTP(S) 代理可能会篡改 HTTPS 连接中的 SSL/TLS 握手过程,从而导致认证失败。 - **系统时间不同步**:操作系统的时间设置异常可能导致无法正确校验 X.509 数字证书的有效期限。 #### 解决策略 针对上述情况,可采取如下措施解决问题: ##### 配置可信根证书库 对于使用私有 CA 的场景,在应用启动前需确保加载了包含相应颁发机构在内的完整链路的信任存储文件。可以通过修改应用程序配置或将额外的 PEM 编码形式公钥导入到运行环境中实现这一点。 ```bash export REQUESTS_CA_BUNDLE=/path/to/custom/cacert.pem ``` ##### 跳过特定主机名检查(仅限开发测试) 在非生产环境下为了快速排除其他潜在变量影响,可以选择临时禁用对目标站点的身份确认逻辑。注意这会降低安全性因此不适合长期在线业务采用。 ```python import requests from urllib3.exceptions import InsecureRequestWarning requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning) response = requests.get('https://example.com', verify=False) print(response.status_code) ``` ##### 更新本地日期与时区同步机制 保持计算机系统的实时时钟处于准确状态有助于避免因密钥生命周期管理不当而引发的一系列连锁反应。定期执行 NTP 协议请求并与权威授时源进行比对调整能够有效预防这类隐患的发生。 ```shell sudo timedatectl set-ntp true timedatectl status | grep "System clock synchronized" ``` ##### 安全建议 始终优先考虑获取正式渠道发布的合法商业级安全套件产品;遵循官方文档指导完成必要的安装部署流程;及时跟踪上游维护团队发布的技术通告并尽快落实补丁更新工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值