Android中Https证书认证(防会话劫持,防中间人)

最新推荐文章于 2024-04-14 15:53:41 发布
最新推荐文章于 2024-04-14 15:53:41 发布
阅读量474 收藏 1
点赞数
分类专栏: android java 文章标签: android 中间人 安全
阿弥陀佛 欢迎流通 功德无量
本文链接:https://blog.youkuaiyun.com/fxtxz2/article/details/103119139
版权

问题

Android中间人会话劫持

思路

在代码中对https证书进行验证。

解决

步骤1:获取合法https证书

通过浏览器下载https证书,保存到assets文件夹,如下图:

证书保存位置

步骤2:实现https证书认证

 try {
    //获取X.509格式的内置证书
    CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
    KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
    keyStore.load(null);
    Collection<? extends Certificate> cers = certificateFactory.generateCertificates(context.getAssets().open("MY.cer"));
    int index = 0;
    for (Certificate certificate : cers) {
        String certificateAlias = Integer.toString(index++);
        keyStore.setCertificateEntry(certificateAlias, certificate);
    }
    //用这个KeyStore去引导生成的TrustManager来提供验证
    final TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    trustManagerFactory.init(keyStore);
    //用TrustManager生成SSLContext
    SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(null, trustManagerFactory.getTrustManagers(), new SecureRandom());
    //SSLContext返回SSLSocketFactory
    return sslContext.getSocketFactory();
} catch (Exception e) {
    throw new RuntimeException(e);
}

总结

这样就可以防止中间人https证书伪造之类的劫持了。

参考

Android HTTPS认证
Android在路上
01-18 3908
1、概述 因为最近公司的项目需求涉及到HTTPS双向认证和服务器进行交互,所以最近花了大量时间研究相关知识,发现网上并没有完善的相关文章,自己在这个过程中也走了好多弯路,所以决定写篇文章记录自己学到的东西,同时也希望能够帮到需要的人。 2、HTTPS相关介绍 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer
AndroidHttps通信实现_中间人攻击、DNS欺骗和会话劫持
renzhongrui的博客
12-26 1257
上一篇文章记述了在Android中使用Https进行单向认证的配置,但单向认证存在中严重的安全漏洞,其中最容易受到中间人攻击和DNS欺骗,本文主要讲述进行中间人攻击和DNS欺骗的方式。 概览 中间人攻击 DNS欺骗 ...
AndroidHttps证书认证会话劫持
chi0830的博客
08-06 734
问题 Android中间人会话劫持 思路 在代码中对https证书进行验证。 解决 步骤1:获取合法https证书 通过浏览器下载https证书,保存到assets文件夹,如下图: 步骤2:实现https证书认证 try { //获取X.509格式的内置证书 Certifi...
HTTPS中的证书验证
嗯...
05-25 1124
转自:https://github.com/lygttpod/RxHttpUtils 验证方式 - 都不验证 验证方式 - 单向认证 - 自定义X509TrustManager 以下,使用本地证书对比服务器证书公钥 验证方式 - 单向认证 - 指定信任证书生成X509TrustManager 验证方式 - 双向认证 - 自定义X509TrustManager + KeyManager 验证方式 - 单向认证 - 指定信任证书生成X509TrustManager + KeyManager 更多 SS
安卓 https 证书校验
u010232308的博客
09-25 1181
问题:项目使用的Glide加载图片的,当后台返回是https的时候,在有些机型上加载不出来图片,没有做签名校验。 情况:我们使用的是GlobalSign签发的证书,可以看到在安全中的信任凭证里,有这个证书,5.0以上的有5个GlobalSign证书,5.0以下有3个GlobalSign证书,我这里有两个测试机,系统都是4.1.2的,一个是小米,一个是华为,小米的可以加载出来图片,而华为的却不可以
android ssl证书验证
11-15
android ssl证书验证
Lanmitm:Android中间人攻击测试工具
04-12
Lanmitm — Android中间人攻击测试工具 #####下载说明:安装文件请直接进入download目录下载,开发版请自行导入eclipse中运行 更新历史 ####v1.2.1版本说明 (2014-12-15) 1、修复bug ####v1.2版本说明 (2014-12-12) ...
Android网络编程(六):HTTPS
最高永远来自最下
03-11 475
一、简介 HTTPS 是一种通过计算机网络进行安全通信的传输协议。HTTPS 经由 HTTP 进行通信,但利用 SSL/TLS 来加密数据包。HTTPS 开发的主要目的,是提供对网站服务器的身份 认证,保护交换数据的隐私与完整性。若是不了解HTTP,请看Android网络编程(五):HTTP协议。 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标 的 HTTP 通道,简单讲是 HTTP 的安全版。即 HTTP 下
Lanmitm, Android中间人攻击测试工具.zip
09-18
【标题】:“Lanmitm, Android中间人攻击测试工具.zip” 这个压缩包文件名为“Lanmitm, Android中间人攻击测试工具”,显然它是一个专门针对Android平台的中间人攻击(Man-in-the-Middle, MITM)测试工具。MITM攻击...
**中用户会话管理:会话劫持与固定漏洞范,确保会话安全
[**中用户会话管理:会话劫持与固定漏洞范,确保会话安全](http://mmbiz.qpic.cn/mmbiz_jpg/XWPpvP3nWaiccoUdrpAibS7MF1OhUtqicXXVNTdKTlibPaMTvYFNQPyibCVY4HzicNcoeardhv4AzCsicKU8JsoStkN4A/0?wx_fmt=jpeg) ...
Android SSL证书验证原理
08-25
Android SSL验证原理
Android https 自签名和CA证书验证(基于OkHttp)
黄小梁的博客
11-12 8549
Android HTTPS自签名和CA证书验证(基于OkHttp)HTTPS介绍场景 HTTPS介绍 HTTPS是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道,加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。简单来说,HTTPS就是“安全版”的HTTP, HTTPS = HTTP + SSL。HTTPS相当于在应用层和TCP层之间加入了一个SSL/TLS,SSL层对从应用层收到的数据进行加密。TLS/SSL中
Android HTTPS 自制证书实现双向认证(OkHttp + Retrofit + Rxjava)
最新发布
2401_84132617的博客
04-14 791
其实客户端开发的知识点就那么多,面试问来问去还是那么点东西。所以面试没有其他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。然而Android架构学习进阶是一条漫长而艰苦的道路,不能靠一时激情,更不是熬几天几夜就能学好的,必须养成平时努力学习的习惯。贵在坚持!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。
Android HTTPS中间人劫持漏洞浅析
随笔日志
03-19 3448
Android HTTPS中间人劫持漏洞浅析 FromFreeBuf By Jason_HZ Android HTTPS中间人劫持漏洞描述         在密码学和计算机安全领域中,中间人攻击 (Man-in-the-middleattack,通常缩写为MITM)是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接
AndroidHttps请求如何中间人攻击和Charles抓包原理
贵公子丶笔记
04-17 1799
客户端访问https网站 一般有两种方式实现,一是信任所有的证书,也就是跳过证书合法性校验这一步骤,对于这种做法肯定是有风险的;二是校验证书证书合法才能访问。 第一种方式 :信任所有证书 解决证书不被系统承认的方法,就是跳过系统校验。要跳过系统校验,就不能再使用系统标准的SSLSocketFactory了,需要自定义一个。然后为了在这个自定义的SS...
android Https的使用及双向验证证书
he先森的博客
05-08 453
转载:android Https的使用及双向验证证书
java证书验证失败_okhttpSSL证书验证失败问题
weixin_27875131的博客
02-17 1282
javax.net.ssl.SSLHandshakeException:javax.net.ssl.SSLProtocolException:SSLhandshakeaborted:ssl=0x78c63288:FailureinSSLlibrary,usuallyaprotocolerrorerror:14077410:SSLroutines:SSL23_GET_SE...
android https下载遇到SSLHandshakeException自签证书认证解决
qq_46041134的博客
03-22 535
SSLHandshakeException解决 搞了一周 各种头疼 最后终于搞定 直接代码走起 在做请求之前添加一个方法 createIgnoreVerifySSL("TLSv1.1"); /** * 绕过验证 * @return */ fun createIgnoreVerifySSL(sslVersion: String): SSLSocketFactory { var sc = SSLContext.getInstance(sslVersio
Android实现https项目实战
张平的专栏
06-29 961
相信很多客户端开发人员特别是Android开发人员对https如何在程序中使用存有疑惑,项目中有的说“什么都不用校验校验都在服务端”、“ios都不用校验,系统自带处理机制”……之类的,不管是使用Volley、OkHttp还是其他网络框架,不做校验或使用不安全校验确实能是客户端正常访问https的接口服务地址,但是如此以来给app特别是Android版本的应用程序带来了极大安全隐患。 网上查找解决方
交换式网络下的HTTP会话劫持护策略
TCP(传输控制协议)保证了数据包在网络中的可靠传输,但其三次握手过程在某些情况下可能被利用,使得攻击者能够在用户不知情的情况下插入通信链路,成为“中间人”。一旦成为中间人,攻击者就能监听、修改甚至完全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值