Https证书校验不当引起的安全问题

最新推荐文章于 2025-11-27 16:22:31 发布
原创 最新推荐文章于 2025-11-27 16:22:31 发布 · 1.3w 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #安全 #webview #https

1. 使用Webview进行HTTPs通信

Android系统内置了一些可信机构办法的证书,可用于作HTTPs证书校验。实际上,使用Webview组件进行HTTPs通信,其证书验证环节也是系统默认会去做的。若发现证书不合法,Webview将显示一个空白页面,其错误在onReceivedSslError()这个方法里进行处理。使用Webview进行HTTPs通信应当遵循如下安全规范:
1) onReceivedSslError()方法里不能简单地用proceed()方法进行处理,建议给用户一定的提示(如“SSL证书错误,是否继续连接”等)。
这里给出错误的代码示例。

public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error){
    // 只简单地调用proceed()方法,忽略证书错误问题
    paramSslErrorHandler.proceed();
}

一般来说,使用Webview连接带有可信机构颁发证书的HTTPs站点,onReceivedSslError()方法里无需作任何处理(系统默认是拒绝连接的),这里给出正确的示例代码。

public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error){
    // Do nothing
    // 效果同 paramSslErrorHandler.cancel();
}

2. X509TrustManager

X509TrustManager用于实现SSL证书的安全校验,若使用不当,将导致APP对SSL证书不作校验,从而使黑客有了中间人攻击的可乘之机。开发者经常犯的错误有如下:
 自定义X509TrustManager,且不做任何校验逻辑,一般为空实现;
这里给出常见的自定义X509TrustManager的错误示例代码(以使用HttpsURLConnection进行HTTPs连接的情况为例)。

SSLContext localSSLContext = SSLContext.getInstance("TLS");
TrustManager[] arrayOfTrustManager = new TrustManager[1];
// 自定义X509TrustManager
arrayOfTrustManager[0] = new MyTrustManager();
localSSLContext.init(null, arrayOfTrustManager, new SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(localSSLContext.getSocketFactory());
HttpsURLConnection localHttpsURLConnection = (HttpsURLConnection) new
URL(paramString).openConnection();
……
class MyTrustManager implements X509TrustManager{
   
   
    // 不作任何校验
  public void checkClientTrusted(X509Certificate[] paramArrayOfX509Certificate, String paramString) {}
        // 不作任何校验
    public void checkServerTrusted(X509Certificate[] paramArrayOfX509Certificate, String paramString) {}
    // 返回null
    public X509Certificate[] getAcceptedIssuers(){
        return null;
    }
}

使用上述方式进行HTTPs通信,将存在中间人攻击的可能。由于缺乏证书校验机制,黑客可以通过使用自签名证书,结合DNS欺骗,使用户访问恶意页面。因此,使用HttpsURLConnection或HttpClient进行HTTPs通信时,需要验证证书的合法性。这里把HTTPs站点作分类:
A. 带有可信机构颁发证书的HTTPs站点;
B. 带有自签名证书的HTTPs站点。
对于A类站点,可借助Android系统自带的证书校验机制,开发者无需自己实现任何代码;对于B类站点,则需要把证书文件内置到apk中,根据证书keystore得到用于校验证书内容的TrustManager,并设置在SSLContext当中。
使用HttpsURLConnection或HttpClient进行HTTPs通信,需要遵循如下安全规范:
1) 访问A类站点时,不要自定义X509TrustManager;
2) 访问B类站点时,把证书文件打包到apk中,并根据证书的keystore生成TrustManager。
这里给出使用HttpsURLConnection访问A类站点时的示例代码。

SSLContext localSSLContext = SSLContext.getInstance("TLS");
// 不要自定义X509TrustManager
localSSLContext.init(null, null, new SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(localSSLContext.getSocketFactory());
HttpsURLConnection localHttpsURLConnection = (HttpsURLConnection) new
URL(paramString).openConnection();
这里给出使用HttpsURLConnection访问B类站点时的示例代码。
// 根据证书文件生成keystore
private KeyStore certTrusted(Context context) throws Exception {
    // 从资源文件中获取.cer证书文件
       AssetManager am = context.getAssets()
最低0.47元/天 解锁文章
Android通信安全HTTPS
2301_78835635的博客
11-11 2707
在使用HttpsURLConnection发起 HTTPS 请求的时候,提供了一个自定义的X509TrustManager,未实现安全校验逻辑,下面片段就是当时新浪微博 sdk 内部的代码片段。如果不提供自定义X509TrustManager,代码运行起来可能会报异常(原因下文解释),初学者就很容易在不明真相的情况下提供了一个自定义的X509TrustManager,却忘记正确地实现相应的方法。本文重点介绍这种场景的处理方式。//do nothing,接受任意客户端证书
HTTPS站点不安全?SSL证书不做背锅侠
huitest的博客
02-18 2591
SSL证书在保护网站数据传输上起到了至关重要的作用,它的存在让网站访问者在访问浏览器时留下的信息和数据不被窃取、篡改和监听,让访客们访问网站时非常放心、非常安心,使网站由明文传输式的http变成数据加密的https站点。但是用户们却发现,在访问一部分https站点时,浏览器依旧会提示不安全,难道是 SSL证书问题吗,是不是 SSL证书已经不能很好地保护我们的安全了呢?环度小编总结了以下几方面的原因。 1,SSL证书与网站域名不匹配 这种情况通常是您申请的SSL证书书类型与域名不匹配,如果您个人网站申请
你并不在意的 HTTPS 证书吊销机制,或许会给你造成灾难性安全问题
涛哥聊Python
02-01 2330
鼠年大吉HAPPY 2020'S NEW YEAR来源:安全客地址:https://url.cn/5WvQjVs本文仅作学术分享,若侵权,请联系后台删文处理缘起偶刷《长安十二时辰...
图解HTTPS证书的CA、签发、校验和数据加密流程。详解OpenSSL自签证书,并封装自动化脚本!
最新发布
https://ophome.blog.youkuaiyun.com,在IT行业有多年的工作经验,尤其是在Python、Linux、负载均衡、Nginx和服务器运维等领域。
11-27 1257
图解HTTPS证书的CA、签发、校验和数据加密流程。详解OpenSSL自签证书,并封装自动化脚本
WebViewonReceivedSslError()方法
lyl0530的博客
01-20 1万+
Android应用中WebView访问https SSL证书网页时,Google Play 总是报 WebViewonReceivedSslError 错误。为避免谷歌安全警告,要重写WebViewonReceivedSslError方法,此时要弹框提示用户,是否忽略SSL错误,继续访问网页。 @Override public void onReceivedSslError(WebVi...
Android webView加载成功与失败回调,重新加载,onReceivedError、onReceivedSslError、onPageFinished、onProgressChanged
热门推荐
qq_37980878的博客
10-20 1万+
webView提供了多种网页加载的回调 1.onPageStarted 开始加载 2.onPageFinished 加载完成 3.onReceivedError 加载失败 4.onReceivedSslError 加载证书错误网页失败 5.onProgressChanged 网页加载进度 一、加载证书错误网页 如果是证书错误的网页,比如www.baidu123.com,在window浏览器上打开后显示如下提示的网页,是不会调用onReceiv...
Google上架因为WebView被拒
Gufra_Yin的博客
04-23 2069
原因:在WebViewClient的回调方法onReceivedSslError里只单纯的写了handler.proceed();没给出明确的原因 两种解决方法: 1、去掉WebViewClient的回调方法onReceivedSslError 2、修改onReceivedSslError如下所示 @Override public void onReceivedSslError(...
18、高级安全技术:证书部署与入侵检测全解析
herb5的博客
06-23 64
本文深入解析了高级安全技术中的证书部署与入侵检测方法。内容涵盖证书的部署流程、配置文件的使用、中间证书的作用、证书格式及其转换、自签名证书和通配符证书的创建,以及入侵检测工具如 RPM、AIDE 和 netfilter 的应用。通过这些技术,可以有效保障网络服务的安全性并及时发现系统入侵行为。
高级安全:网络安全证书与入侵检测全解析
### 高级安全:网络安全证书与入侵检测全解析 在当今数字化的时代,网络安全至关重要。证书部署、配置文件管理、证书格式转换以及入侵检测等都是保障网络安全的重要环节。下面将详细介绍这些方面的知识和操作方法。...
【CAT021报文数据校验和错误检测】:保障交易安全的关键技术
[【CAT021报文数据校验和错误检测】:保障交易安全的关键技术](https://cdn.learnku.com/uploads/images/202106/15/78275/sRRWvIruGN.png!large) # 摘要 本文系统介绍了CAT021报文的构成、数据校验原理与方法,并对...
OTA升级中断或回滚?分区表配置与安全校验机制的7大避坑要点
OTA升级中断与回滚问题的本质解析 在嵌入式设备和物联网终端中,OTA(Over-the-Air)升级已成为固件维护的核心手段。然而,升级过程中因断电、网络中断或镜像损坏导致的**升级中断**,常引发设备“变砖”风险。其...
webview报SSl证书问题
Z_Try的博客
09-14 1136
webview报ssl证书问题显示空白页
Android SSL证书验证原理
08-25
Android SSL验证原理
Android webview加载https链接错误或无响应的解决
08-19
主要介绍了Android webview加载https链接错误或无响应的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
解决HostnameVerifier警告
Alrey的博客
09-24 5747
前言 今天邮箱收到一封官方的邮件,关键内容如下 一个HostnameVerifier警告,说限期不修复就会下架 Help Center 解决方案 如果你和我一样不知道HostnameVerifier是个什么东西,且确认自己没有用过这玩意儿,且项目里也没有这个东西(建议全局搜索一下HostnameVerifier),那么就能确定这个警告肯定是由于第三方库所引发的,这就需要你到你谷歌应用控制台去看看警告的详情信息(一般会在提醒列表里),google一般会告诉你是那个类触发了这个警告 查看谷歌控制台后,看到了如
ssl证书合并_APP优雅进行SSL证书校验——(一)服务器篇
weixin_39738273的博客
12-05 651
前言本方案不会导致证书更换时候APP停服。因为:APP不做证书完整校验。只做公钥校验;服务器续费证书时候,不更换私钥,所以公钥不变动;客户端可以继续认可新版证书。本方案的收益:证书可以续费,可以和WEB端业务走同一个域名。APP一旦走了抓包(HTTPS的抓包),将会产生一个临时证书,与内置的公钥摘要不匹配,将会直接报错。很大程度上保证了APP的API请求不被截获篡改。再结合一些混淆服务,让dex文...
Android证书有效性验证方案
我的专栏
09-30 3790
SSL劫持攻击: 目前虽然很多Android APP使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息,攻击示意图如下:
2020-08-24问题待解决:Java.lang.NoSuchFieldError: No static field INSTANCE of type
Hogwarts
08-24 1581
依赖了一个第三方的包 implementation 'org.cups4j:cups4j:0.7.6' 这个包又去依赖了一个HttpClient包 <dependency> <groupId>org.apache.httpcomponents</groupId> <artifactId>httpclient</artifactId> <version>4.5.2</version&gt
服务器调用https缺少证书,Https自定义证书引入问题(2)
weixin_29454359的博客
07-31 1867
上一篇介绍接口使用https并且证书是自签的情况下,如何在客户端信任服务器证书,没有看过的请移步1.Webview加载https问题1.1 最简单的方式,助各位大佬一秒脱坑自定义证书https地址在加载时会进入onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) 方法,前提是自定义webviewClie...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值