数字证书明文_Android 明文数字证书风险解决方案

最新推荐文章于 2024-07-16 01:16:46 发布
最新推荐文章于 2024-07-16 01:16:46 发布
阅读量1.2k 收藏
点赞数
文章标签: 数字证书明文
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_39670627/article/details/111840436
版权

测评目的

检测客户端是否包含明文存储的数字证书文件

危险等级

危害

Apk中使用的数字证书可被用来校验服务器的合法身份,以及在与服务器进行通信的过程中对传输数据进行加密、解密运算,保证传输数据的保密性、完整性。明文存储的数字证书如果被篡改,客户端可能连接到假冒的服务端上,导致用户名、密码等信息被窃取;如果明文证书被盗取,可能造成传输数据被截获解密,用户信息泄露,或者伪造客户端向服务器发送请求,篡改服务器中的用户数据或造成服务器响应异常

测评结果

存在风险(发现1处)

测评结果描述

该Apk 中存在明文存储的数字证书文件

测评详细信息

… (省略具体位置)

解决方案

1.将项目中的.crt文件找到,提取文件中的内容复制在字符串上。例如:

private static String NEWCRT =“文件内容...”

/**

* okhttp 配置

* @param okHttpClientBuilder

* @param cerStr

*/

public static void setCertificate(OkHttpClient.Builder okHttpClientBuilder, String cerStr) {

try {

CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");

ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(cerStr.getBytes());

Certificate ca = certificateFactory.generateCertificate(byteArrayInputStream);

KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());

keyStore.load(null, null);

keyStore.setCertificateEntry("ca", ca);

byteArrayInputStream.close();

TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());

tmf.init(keyStore);

SSLContext sslContext = SSLContext.getInstance("TLS");

sslContext.init(null, tmf.getTrustManagers(), new SecureRandom());

okHttpClientBuilder.sslSocketFactory(sslContext.getSocketFactory(), (X509TrustManager) tmf.getTrustManagers()[0]);

okHttpClientBuilder.hostnameVerifier(new HostnameVerifier() {

@Override

public boolean verify(String hostname, SSLSession session) {

return true;

}

});

} catch (Exception e) {

e.printStackTrace();

}

}

数字证书笔记
shuangmu9768的博客
09-07 1万+
【1】非对称加密、数字签名、数字证书、keytool自签名证书 【2】HTTPS、SSL 证书、利用Openssl制作自签名SSL证书 【3】tomcat开发环境配置启用https 【4】Spring Boot2中配置HTTPS 【5】导入安全证书到jdk 【6】Tomcat服务器配置https双向认证 【7】openssl与keytool 区别 【8】利用Openssl与Keytool制作Tomcat数字证书 【9】SSL工作原理 【10】NIO模式和BIO模式实现SSL协议通信 【11】Java Key
Android 开发中的SSL pinning
xiangzhihong8的专栏
12-17 1149
在日常的安全渗透过程中,我们经常会遇到瓶颈无处下手,这时候如果攻击者从APP进行突破,往往会有很多惊喜。但是目前市场上的APP都会为防止别人恶意盗取和恶意篡改进行一些保护措施,比如模拟器检测、root检测、APK加固、代码混淆、代码反调试、反脱壳、签名校验等等对抗机制。而测试人员对APP进行渗透的首步操作通常就是上burp或者Charles这类抓包工具进行抓包,查看请求记录里的域名及链接地址是否可以进一步利用。我们都知道http协议传输的是明文信息,是可以直接捕获的,从而造成了数据泄露。
数字证书明文_数字证书
weixin_42518090的博客
01-05 358
数字证书/数字签名A发消息给B,中间可能受C节点的窃听、篡改,或被C伪装。A-------------(C)-------------->B窃听、篡改、伪装对称加密:明文---(密钥加密)---密文---(密钥解密)---明文;加密解密密钥相同非对称加密:明文---(公钥加密)---密文---(私钥解密)---明文;加密解密密钥不同防窃听:A---B公钥加密---(C)---B私钥...
Android静态安全检测 -> 明文数字证书风险
4lwin博客
11-29 4559
明文数字证书风险 - .cer文件 一、API 【1】os.walk(dir_path) 遍历某路径下的所有文件 【2】os.path.splitext(file_name) 分离文件名与扩展名 【3】os.path.join(root, file) 连接目录与文件名或目录 二、触发条件 1. 主要是查找反编译目录中的.cer文件
APP上架合规检查,APP内存在明文数字证书风险.cer
hhb282的博客
08-04 761
存在的明文证书为ag_sdk_cbg_root.cer
Android 明文数字证书风险解决方案
糖小七_Zz的博客
05-13 2071
测评目的 检测客户端是否包含明文存储数字证书文件 危险等级 中 危害 Apk中使用的数字证书可被用来校验服务器的合法身份,以及在与服务器进行通信的过程中对传输数据进行加密、解密运算,保证传输数据的保密性、完整性。明文存储数字证书如果被篡改,客户端可能连接到假冒的服务端上,导致用户名、密码等信息被窃取;如果明文证书被盗取,可能造成传输数据被截获解密,用户信息泄露,或者伪造客户端向服务器发送请求,篡改服务器中的用户数据或造成服务器响应异常 测评结果 存在风险(发现1处) 测评结果...
Android安全-数字证书
彬子的技术专栏
01-11 1703
数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的 证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等
Android安全加密:数字签名和数字证书
gitzzp的博客
09-26 545
本文转自:http://blog.youkuaiyun.com/axi295309066/article/details/52494832 Android安全加密专题文章索引 Android安全加密:对称加密 Android安全加密:非对称加密 Android安全加密:消息摘要Message Digest Android安全加密:数字签名和数字证书 Android安全加密:Https编程 以上
【SSL证书链探索】:Android Studio报错背后的证书链完整解决方案
[【SSL证书链探索】:Android Studio报错背后的证书链完整解决方案](https://static.racent.com/img/201810/201810193f0ff40f61567fb1.jpg) # 1. SSL证书链简介 在现代互联网通信中,SSL证书链是确保数据传输安全的...
Android安全存储解决方案:KeyStore与加密SharedPreference
它通常用于安全地管理各种身份验证凭证,如数字证书和密钥。 KeyStore对于密钥管理提供了一个集中的解决方案,它允许应用程序创建和存储密钥对(例如公钥和私钥),并且可以由系统安全服务进行访问控制。这些密钥对...
安全加固-checklist
01-08
信息安全加固的checklist,从绿盟的基线拿出来的,当然有些是错误的、还有些不准确等等,作为参考还是不错的。
Android面试八股文】1.使用了HTTPS就绝对安全了吗?2.HTTPS 会被抓包吗?3.如何避免被中间人抓取数据?
最新发布
字节卷动
07-16 917
HTTPS是在 HTTP 的基础上加入加密层的协议,用于安全的数据传输。TCP 三次同步握手客户端验证服务器数字证书DH 算法协商对称加密算法的密钥、hash 算法的密钥SSL 安全加密隧道协商完成网页以加密的方式传输,用协商的对称加密算法和密钥加密,保证数据机密性;用协商的 hash算法进行数据完整性保护,保证数据不被篡改。HTTPS 一定是安全的吗?用了HTTPS就安全了吗?HTTPS 会被抓包吗?网络面经:使用HTTPS就绝对安全了吗?
Android应用安全实践 -- 某些Android应用在客户端明文存储登录密码
软件质量优化
09-20 2460
指付通 是提供给指付通用户根据您的位置找到商家信息和优惠信息并在消费后可以真实点评,并通过互动交友、同步足迹、发布点评来赚取指付币,具有消费参考价值的社交平台。
Android中的apk文件进行数字签名及版本更新时遇到apk签名问题
xfyunyun的专栏
03-19 5861
(一)apk文件签名的作用: 1. 发送者的身份认证。由于开发商可能通过使用相同的 Package Name 来混淆替换已经安装的程序,以此保证签名不同的包不被替换 2. 保证信息传输的完整性。签名对于包中的每个文件进行处理,以此确保包中内容不被替换。 (二)步骤: 1. 安装配置好JDK 1.6 2. 使用Java的keytool工具生成密钥 C:\android.keystor
防御中间人攻击:Android证书锁定
chuyouyinghe的专栏
10-12 707
中间人攻击(MITM)是一种狡猾且危险的网络威胁,可能严重破坏用户的在线安全和隐私。在这种攻击中,未经授权的第三方截取并窃听两个相信彼此直接连接的各方之间的通信,通常是用户和受信任的服务器或网站。攻击者潜入通信流的中心位置,因此得名“中间人”。证书锁定是一种安全实践,限制应用程序从服务器接受的可信数字证书的数量,以建立安全连接。与仅依赖公钥基础设施(PKI)范 paradigm 不同,PKI中有大量证书颁发机构(CA)发行证书,证书锁定要求应用程序仅信任与受信任机构相关联的某些证书或公钥。
对apk文件内容、数字证书、apk拆解、签名、重新打包等的一些实践
weixin_34060299的博客
05-06 639
2019独角兽企业重金招聘Python工程师标准>>> ...
Android APP 手工签数字证书
王吉军-全栈工程师
09-17 2679
1、将需重新签名apk文件后缀改为.zip,然后从winrar中删除META-INF文件夹,删除后重新将文件名改成apk的后缀。 2、重新签名 ,jarsigner 命令在Java SDK bin 文件夹下(默认在 C:\Program Files\Java\jdk1.6.0_32),本机已配置在环境变量里,所以可以直接引用。 Google 实例 $ jarsigner -verb
数字证书明文_数字证书的作用
weixin_39949673的博客
12-22 382
数字证书的作用主要分为以下三种:1.使用证书进行加密如果甲方要向乙方传送加密的信息,并且甲乙双方都有自己的数字证书,则传送过程如下:(1)甲方准备好信息(明文)传送给乙方。(2)甲得到乙的证书,并核实其有效后,用乙方的公钥加密信息(密文)。(3)乙方收到密文后,用证书对应的私钥对其解密,得到明文。如果明文数据量非常大,可与数字信封相结合的方式进行加密,即甲方只用公钥来加密一个对称密钥,再用对称密钥...
开发者需要关注的APP安全问题有哪些
RapidAppDev的博客
12-21 913
对于个人开发者或者某些小企业开发者而言,APP安全的始终是一件让人非常头疼的事情。下面我们从安全开发角度出发,进行梳理了一个APP需要关注的APP安全的问题。 一、应用安全 在开发APP过程中,不安全的代码编写方式和没有周全考虑到相应的安全性,从而给开发的APP带来一定的安全风险,那么应用安全这个最重要的安全需要关注哪些方面? 应用安全主需要关注:二进制安全、敏感数据安全、敏感资源安全、完整性安全、证书存储安全。这五个方面处理的好会一定程度提高APP安全性 1. 环境检测 环境检测主要关注点:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值