2. 程式人生 > >Android靜態安全檢測 -> WebView忽略SSL證書錯誤檢測

Android靜態安全檢測 -> WebView忽略SSL證書錯誤檢測

阿新 發佈:2019-01-11

WebView忽略SSL證書錯誤檢測 -SslErrorHandler.proceed方法

一、API

1. 繼承關係

【1】java.lang.Object

【2】android.os.Handler

【3】android.webkit.SslErrorHandler

2. 主要方法

【1】cancel( )

  停止載入問題頁面

【2】proceed( )

  忽略SSL證書錯誤,繼續載入頁面

【3】其他方法

二、觸發條件

1. 呼叫SslErrorHandler類的proceed方法

【1】對應到smali語句中的特徵:Landroid/webkit/SslErrorHandler;->proceed()V

2. 方法名:onReceivedSslError

三、漏洞原理

【1】Android WebView元件載入網頁發生證書認證錯誤時,會呼叫WebViewClient類的onReceivedSslError方法,如果該方法實現呼叫了handler.proceed()來忽略該證書錯誤,則會受到中間人攻擊的威脅,可能導致隱私洩露

【2】漏洞程式碼樣例

四、修復建議

【1】不呼叫android.webkit.SslErrorHandler的proceed方法

【2】當發生證書認證錯誤時,採用預設的處理方法SslErrorHandler.cancel(),停止載入問題頁面

相關推薦

Android靜態安全檢測 -> WebView忽略SSL證書錯誤檢測

WebView忽略SSL證書錯誤檢測 -SslErrorHandler.proceed方法 一、API 1. 繼承關係 【1】java.lang.Object 【2】android.os.Hand

讓Git忽略SSL證書錯誤技巧

當你通過HTTPS訪問Git遠端倉庫,如果伺服器的SSL證書未經過第三方機構簽署,那麼Git就會報錯。這是十分合理的設計,畢竟未知的沒有簽署過的證書意味著很大安全風險。但是,如果你正好在架設Git伺服器,而正式的SSL證書沒有簽發下來,你為了趕時間生成了自簽署的臨時證書,

QWebEngineView如何忽略SSL證書錯誤

最近用QT寫客戶端軟體,思路是使用QWebEngineView來繪製本地的html或者伺服器上的html做介面展示。可是發現QWebEngineView在Load一個https的URL的時候,由於ssl證書不可信導致提示有錯誤,無法顯示內容,在QWebEngin

Android靜態安全檢測 -> WebView明文儲存密碼

WebView明文儲存密碼 -WebSettings.setSavePassword方法 一、API 1. 繼承關係 【1】java.lang.Object 【2】android.webkit.W

Android靜態安全檢測 -> Zip檔案目錄遍歷漏洞

Zip檔案目錄遍歷漏洞 - ZipEntry.getName方法 一、API 1. 繼承關係 【1】java.lang.Object 【2】java.util.zip.ZipEntry 2.

Android靜態安全檢測 -> Broadcast Receiver元件暴露

Broadcast Receiver元件暴露 - exported屬性 一、android:exported 該屬性用來標示,當前Broadcast Receiver是否可以從當前應用外部獲取Rec

Android靜態安全檢測 -> Intent隱式呼叫

Intent隱式呼叫 - android.content.Intent 一、API 1. 繼承關係 【1】java.lang.Object 【2】android.content.Intent

Android靜態安全檢查(十三):剪下板使用檢測

Android剪下板使用風險Android剪下板是可以暫存資料,剪下板在後臺起作用,存放在記憶體中。如果把隱私資料,特別是密碼,存放在剪下板中是不安全的,因為任何的應用程式都可以訪問剪下板中的資料。如果一個惡意應用,註冊了系統剪下板的監聽器事件,當剪下板資料發生變化的時候,就

Android靜態安全檢測 -> 自定義許可權的保護級別

自定義許可權的保護級別 - protectionLevel屬性 一、Manifest檔案中許可權相關的知識 1. <uses-permission>標籤 【1】語法定義 【2】屬性

Android靜態安全檢測 -> Content Provider元件暴露

Content Provider元件暴露 - exported屬性 一、android:exported 該屬性指示了content provider是否可以被其他應用程式使用 1. true 代

Android靜態安全檢測 -> 檔案任意讀寫

檔案任意讀寫 -openFileOutput方法 一、API 1. openFileOutput(String name , int mode) 示例:openFileOutput("text.tx

Android靜態安全檢測 -> Activity元件暴露

Activity元件暴露 - exported屬性 一、android:exported 該屬性用來標示,當前Activity是否可以被另一個Application的元件啟動 1. true 表示

Android 靜態安全檢查 Service劫持

什麼是Service劫持 Android應用中,Service是一個重要的元件,用於執行比較耗時的後臺任務,啟動一個Service常用的方法是ComponentName startService(Intent service),傳入的引數是Intent,Intent使用有兩

微信小程式https安全連結 阿里雲 ssl證書 部署

微信小程式介面該問只允許安全級https連結 下面我們介紹一下如何在阿里雲部署免費的安全證書 登入阿里雲  控制檯-》安全(雲盾)-》證書服務-》購買證書 第二步:購買證書 選中免費型DVSSL,點選購買付款然後一步步操作就OK了。買完後,再次回去證書服務,會看到一條

通過HttpClient呼叫介面時忽略SSL證書驗證

在專案過程中發現呼叫的介面地址為https形式的,一般用httpclient呼叫會丟擲異常:Exception in thread "main" javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated

執行 gem install 時,忽略 SSL 證書檢查

參考: http://dharampal.in/2012/06/28/bypassing-ssl-certificate-checks-during-gem-installation/1. 現象按照 gem 包有時候,會報錯: ssl certificate error2.

maven下載依賴時候忽略SSL證書校驗

mvn clean && mvn compile -Dmaven.wagon.http.ssl.insecure=

python3 urllib.requesturlopen 一個https 時ssl證書錯誤!

使用 就會 cert http ssl req pen urllib erro 不知道從那個版本起,python用urlopen打開一個https時會驗證一次 SSL 證書,當目標使用的是自簽名的證書時就會爆出一個 <urlopen error [SSL: CERT

設置chrome忽略網站證書錯誤

appdata cnblogs 通過 重新 系統 admin 程序路徑 操作方法 chrom 最近換了window10的系統後用瀏覽器訪問網頁的時候,經常出現網站證書錯誤的情況,特別是以https://開頭的,原因是google升級證書檢查力度後無法忽視證書錯誤的訪問,解決

weblogic SSL證書錯誤 FATAL Alert:BAD_CERTIFICATE

 最近專案需求需要獲取Cyberark密碼需要通過https協議獲取,將程式碼寫完之後,weblogic提示如下錯誤: FATAL Alert:BAD_CERTIFICATE - A corrupt or unuseable certificat. 隨後在網上查閱相關資料