Android 明文数字证书风险解决方案

明文存储数字证书风险
最新推荐文章于 2023-10-12 19:14:16 发布
原创 最新推荐文章于 2023-10-12 19:14:16 发布 · 2.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #java

本文揭示了在Apk中明文存储数字证书的安全风险,包括信息泄露和假冒服务端攻击。并提供了一种解决方案,通过字符串存储证书内容,利用OkHttp进行安全配置,确保数据传输的保密性和完整性。
测评目的 检测客户端是否包含明文存储的数字证书文件
危险等级
危害 Apk中使用的数字证书可被用来校验服务器的合法身份,以及在与服务器进行通信的过程中对传输数据进行加密、解密运算,保证传输数据的保密性、完整性。明文存储的数字证书如果被篡改,客户端可能连接到假冒的服务端上,导致用户名、密码等信息被窃取;如果明文证书被盗取,可能造成传输数据被截获解密,用户信息泄露,或者伪造客户端向服务器发送请求,篡改服务器中的用户数据或造成服务器响应异常
测评结果 存在风险(发现1处)
测评结果描述 该Apk 中存在明文存储的数字证书文件
测评详细信息 … (省略具体位置)

解决方案

1.将项目中的.crt文件找到,提取文件中的内容复制在字符串上。例如:

private static String NEWCRT =“文件内容...”

   /**
     *  okhttp 配置
     * @param okHttpClientBuilder
     * @param cerStr
     */
 public static void setCertificate(OkHttpClient.Builder okHttpClientBuilder, String cerStr) {
        try {
            CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
            B
最低0.47元/天 解锁文章
Android 开发中的SSL pinning
xiangzhihong8的专栏
12-17 1270
在日常的安全渗透过程中,我们经常会遇到瓶颈无处下手,这时候如果攻击者从APP进行突破,往往会有很多惊喜。但是目前市场上的APP都会为防止别人恶意盗取和恶意篡改进行一些保护措施,比如模拟器检测、root检测、APK加固、代码混淆、代码反调试、反脱壳、签名校验等等对抗机制。而测试人员对APP进行渗透的首步操作通常就是上burp或者Charles这类抓包工具进行抓包,查看请求记录里的域名及链接地址是否可以进一步利用。我们都知道http协议传输的是明文信息,是可以直接捕获的,从而造成了数据泄露。
Android应用安全检测项目
苛学加记事
07-08 7867
Android应用安全检测项目 使用静态检测引擎对APK文件进行反编译,扫描反编译后的代码文件即可发现应用的安全漏洞。 一般有以下内容,比较有参考价值,部分是平时编码时有可能忽略的问题,在此整理供大家参考。 1. 基础信息 1.1 权限过度声明风险检测 检测应用中是否存在权限滥用情况。 权限是一种安全机制,主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。Android通过在AndroidManifest.xml中增加权限来控制限制性功能的使用和组件访问。权限滥用是指应用权限开
Android静态安全检测 -> 明文数字证书风险
4lwin博客
11-29 4593
明文数字证书风险 - .cer文件 一、API 【1】os.walk(dir_path) 遍历某路径下的所有文件 【2】os.path.splitext(file_name) 分离文件名与扩展名 【3】os.path.join(root, file) 连接目录与文件名或目录 二、触发条件 1. 主要是查找反编译目录中的.cer文件
数字证书明文_Android 明文数字证书风险解决方案
weixin_39670627的博客
12-22 1342
测评目的检测客户端是否包含明文存储数字证书文件危险等级中危害Apk中使用的数字证书可被用来校验服务器的合法身份,以及在与服务器进行通信的过程中对传输数据进行加密、解密运算,保证传输数据的保密性、完整性。明文存储数字证书如果被篡改,客户端可能连接到假冒的服务端上,导致用户名、密码等信息被窃取;如果明文证书被盗取,可能造成传输数据被截获解密,用户信息泄露,或者伪造客户端向服务器发送请求,篡改服务器...
APP上架合规检查,APP内存在明文数字证书风险.cer
hhb282的博客
08-04 790
存在的明文证书为ag_sdk_cbg_root.cer
数字证书明文_数字证书
weixin_42518090的博客
01-05 374
数字证书/数字签名A发消息给B,中间可能受C节点的窃听、篡改,或被C伪装。A-------------(C)-------------->B窃听、篡改、伪装对称加密:明文---(密钥加密)---密文---(密钥解密)---明文;加密解密密钥相同非对称加密:明文---(公钥加密)---密文---(私钥解密)---明文;加密解密密钥不同防窃听:A---B公钥加密---(C)---B私钥...
Android安全加密:数字签名和数字证书
gitzzp的博客
09-26 569
本文转自:http://blog.youkuaiyun.com/axi295309066/article/details/52494832 Android安全加密专题文章索引 Android安全加密:对称加密 Android安全加密:非对称加密 Android安全加密:消息摘要Message Digest Android安全加密:数字签名和数字证书 Android安全加密:Https编程 以上
Android平台集成银联支付解决方案
其核心目标是为开发者提供一套稳定、安全、合规的移动端支付解决方案,使用户能够在不离开应用的情况下完成银行卡支付操作。 从标题“Android银联支付”可以看出,该文件聚焦于Android平台下的银联支付功能实现。这...
【SSL证书链探索】:Android Studio报错背后的证书链完整解决方案
[【SSL证书链探索】:Android Studio报错背后的证书链完整解决方案](https://static.racent.com/img/201810/201810193f0ff40f61567fb1.jpg) # 1. SSL证书链简介 在现代互联网通信中,SSL证书链是确保数据传输安全的...
Android安全存储解决方案:KeyStore与加密SharedPreference
它通常用于安全地管理各种身份验证凭证,如数字证书和密钥。 KeyStore对于密钥管理提供了一个集中的解决方案,它允许应用程序创建和存储密钥对(例如公钥和私钥),并且可以由系统安全服务进行访问控制。这些密钥对...
Android安全-数字证书
彬子的技术专栏
01-11 1772
数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的 证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等
安全加固-checklist
01-08
信息安全加固的checklist,从绿盟的基线拿出来的,当然有些是错误的、还有些不准确等等,作为参考还是不错的。
Android应用安全实践 -- 某些Android应用在客户端明文存储登录密码
软件质量优化
09-20 2491
指付通 是提供给指付通用户根据您的位置找到商家信息和优惠信息并在消费后可以真实点评,并通过互动交友、同步足迹、发布点评来赚取指付币,具有消费参考价值的社交平台。
防御中间人攻击:Android证书锁定
chuyouyinghe的专栏
10-12 873
中间人攻击(MITM)是一种狡猾且危险的网络威胁,可能严重破坏用户的在线安全和隐私。在这种攻击中,未经授权的第三方截取并窃听两个相信彼此直接连接的各方之间的通信,通常是用户和受信任的服务器或网站。攻击者潜入通信流的中心位置,因此得名“中间人”。证书锁定是一种安全实践,限制应用程序从服务器接受的可信数字证书的数量,以建立安全连接。与仅依赖公钥基础设施(PKI)范 paradigm 不同,PKI中有大量证书颁发机构(CA)发行证书证书锁定要求应用程序仅信任与受信任机构相关联的某些证书或公钥。
Android应用中的常见漏洞总结(下)
梅花寺
07-26 611
Android应用中的常见漏洞总结下期来啦,和小编一起看看吧~#####Zipslip漏洞其实也是目录遍历的一种,通过应用程序解压恶意的压缩文件进行攻击。恶意攻击者通过构造一个压缩文件条目中带有…/的压缩文件,上传后交给应用程序进行解压。由于程序解压时没有对文件名进行合法性的校验,而是直接将文件名拼接在待解压目录后面,导致可以将文件解压到正常解压缩路径之外并覆盖可执行文件,从而等待系统或用户调用他们实现代码执行(也可能是覆盖配置文件或其他敏感文件)。
数字证书明文_数字证书的作用
weixin_39949673的博客
12-22 407
数字证书的作用主要分为以下三种:1.使用证书进行加密如果甲方要向乙方传送加密的信息,并且甲乙双方都有自己的数字证书,则传送过程如下:(1)甲方准备好信息(明文)传送给乙方。(2)甲得到乙的证书,并核实其有效后,用乙方的公钥加密信息(密文)。(3)乙方收到密文后,用证书对应的私钥对其解密,得到明文。如果明文数据量非常大,可与数字信封相结合的方式进行加密,即甲方只用公钥来加密一个对称密钥,再用对称密钥...
开发者需要关注的APP安全问题有哪些
RapidAppDev的博客
12-21 961
对于个人开发者或者某些小企业开发者而言,APP安全的始终是一件让人非常头疼的事情。下面我们从安全开发角度出发,进行梳理了一个APP需要关注的APP安全的问题。 一、应用安全 在开发APP过程中,不安全的代码编写方式和没有周全考虑到相应的安全性,从而给开发的APP带来一定的安全风险,那么应用安全这个最重要的安全需要关注哪些方面? 应用安全主需要关注:二进制安全、敏感数据安全、敏感资源安全、完整性安全、证书存储安全。这五个方面处理的好会一定程度提高APP安全性 1. 环境检测 环境检测主要关注点:
最全Android安全检测漏洞解决方案
热门推荐
weixin_40798907的博客
03-09 1万+
前言:APP安全检测通常在一些小型企业涉及的比较少,并且并不太关注这方面的问题。然而在一些大型互联网企业或者国企等等就非常在意这方面的安全问题,并且会有专门的人去对APK进行检测。本节我们一起学习在Android中大量的app漏洞应如何去避免或者修改。 一、基本应用信息 通常包括:应用名称、包名、文件大小、版本信息、文件MD5、签名信息、加固厂商、第三方SDK等。 二、安全漏洞检测项 加密算法和密码安全 1 、AES/DES加密算法不安全使用风险 2 、RSA加密算法不安全使用风险 安全防护能力 1、 Z
Android应用漏洞及常见解决方案
博主逸尘
01-12 1万+
文章目录一. 基本信息1.1 应用权限1.2 应用行为1.3 第三方SDK1.4 恶意程序1.5 越权行为1.6 权限滥用风险1.7 资源文件包含APK二. 源文件安全2.1 应用完整性2.2 程序签名包2.3 Java代码加壳程度2.4 Java代码混淆2.5 SO文件加固2.6 H5文件加固2.7 Java层关键函数风险2.8 资源文件泄露风险2.9 单元测试配置三. 数据存储风险3.1 WebView明文存储密码3.2 数据库注入漏洞3.3 FFmpeg文件读取漏洞3.4 证书文件明文存储风险3.5
评论 7
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值