日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
Android安全開(kāi)發(fā)之Https中間人攻擊漏洞

1.概述

創(chuàng)新互聯(lián)公司于2013年創(chuàng)立,先為達(dá)坂城等服務(wù)建站,達(dá)坂城等地企業(yè),進(jìn)行企業(yè)商務(wù)咨詢(xún)服務(wù)。為達(dá)坂城企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問(wèn)題。

HTTPS,是一種網(wǎng)絡(luò)安全傳輸協(xié)議,利用SSL/TLS來(lái)對(duì)數(shù)據(jù)包進(jìn)行加密,以提供對(duì)網(wǎng)絡(luò)服務(wù)器的身份認(rèn)證,保護(hù)交換數(shù)據(jù)的隱私與完整性。

中間人攻擊,Man-in-the-middle attack,縮寫(xiě):MITM,是指攻擊者與通訊的兩端分別創(chuàng)建獨(dú)立的聯(lián)系,并交換其所收到的數(shù)據(jù),使通訊的兩端認(rèn)為他們正在通過(guò)一個(gè)私密的連接與對(duì)方直接對(duì)話,但事實(shí)上整個(gè)會(huì)話都被攻擊者完全控制。

https在理論上是可以抵御MITM,但是由于開(kāi)發(fā)過(guò)程中的編碼不規(guī)范,導(dǎo)致https可能存在MITM攻擊風(fēng)險(xiǎn),攻擊者可以解密、篡改https數(shù)據(jù)。

2.https漏洞

Android https的開(kāi)發(fā)過(guò)程中常見(jiàn)的安全缺陷:

1)在自定義實(shí)現(xiàn)X509TrustManager時(shí),checkServerTrusted中沒(méi)有檢查證書(shū)是否可信,導(dǎo)致通信過(guò)程中可能存在中間人攻擊,造成敏感數(shù)據(jù)劫持危害。

2)在重寫(xiě)WebViewClient的onReceivedSslError方法時(shí),調(diào)用proceed忽略證書(shū)驗(yàn)證錯(cuò)誤信息繼續(xù)加載頁(yè)面,導(dǎo)致通信過(guò)程中可能存在中間人攻擊,造成敏感數(shù)據(jù)劫持危害。

3)在自定義實(shí)現(xiàn)HostnameVerifier時(shí),沒(méi)有在verify中進(jìn)行嚴(yán)格證書(shū)校驗(yàn),導(dǎo)致通信過(guò)程中可能存在中間人攻擊,造成敏感數(shù)據(jù)劫持危害。

4)在setHostnameVerifier方法中使用ALLOW_ALL_HOSTNAME_VERIFIER,信任所有Hostname,導(dǎo)致通信過(guò)程中可能存在中間人攻擊,造成敏感數(shù)據(jù)劫持危害。

3.漏洞案例

案例一:京東金融MITM漏洞

京東金融Ver 2.8.0由于證書(shū)校驗(yàn)有缺陷,導(dǎo)致https中間人攻擊,攻擊者直接可以獲取到會(huì)話中敏感數(shù)據(jù)的加密秘鑰,另外由于APP沒(méi)有做應(yīng)用加固或混淆,因此可以輕松分析出解密算法,利用獲取到的key解密敏感數(shù)據(jù)。

御安全掃描結(jié)果:

如下是登陸過(guò)程中捕獲到的數(shù)據(jù):

其中的secretkey用于加密后期通信過(guò)程中的敏感數(shù)據(jù),由于APP中使用的是對(duì)稱(chēng)加密,攻擊者可以還原所有的通信數(shù)據(jù)。

案例二:中國(guó)移動(dòng)和包任意消費(fèi)漏洞

HTTPS證書(shū)校驗(yàn)不嚴(yán)格,可被MITM;

加密算法不安全,可被破解;

關(guān)鍵數(shù)據(jù)保存在sdcard卡上,可被任意訪問(wèn);

代碼混淆度低,業(yè)務(wù)邏輯,關(guān)鍵數(shù)據(jù)泄漏;

消息簽名算法比較簡(jiǎn)單,數(shù)據(jù)可被修改;

通信數(shù)據(jù)如下:

 
 
 
 
    
  
  
  
  
  1. POST https://mcaNaNpay.com:28710/ccaweb/CCLIMCA4/2201194.dor HTTP/1.1
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. Cookie: JSESSIONID=CHGmYSZLTMRAx_1sSEuUP6Q4vmRI9gWiRPM6ANGnH7eZWv0NhErE!221531807
    4. 
  
  
  
  
  4. 
  
  
  
  
  5. .......
    6. 
  
  
  
  
  6. 
  
  
  
  
  7. Content-Length: 521
    8. 
  
  
  
  
  8. 
  
  
  
  
  9. Host: mcaNaNpay.com:28710
    10. 
  
  
  
  
  10. 
  
  
  
  
  11. Connection: Keep-Alive
    12. 
  
  
  
  
  12. 
  
  
  
  
  13. Cookie: JSESSIONID=CHGmYSZLTMRAx_1sSEuUP6Q4vmRI9gWiRPM6ANGnH7eZWv0NhErE!221531807
    14. 
  
  
  
  
  14. 
  
  
  
  
  15. Cookie2: $Version=1
    16. 
  
  
  
  
  16. 
  
  
  
  
  17. 866697029909260201603241008185gye5tKk6EPB4iliO722011944.3.82Android_21-1794*1080-HUAWEI GRA_UL1020093CAS000169918666970299092601050:a7:2b:c5:e2:d8
    18.

在用戶(hù)開(kāi)啟免密支付的前提下,結(jié)合以上安全問(wèn)題,可以實(shí)現(xiàn)本地或遠(yuǎn)程攻擊,直接盜取和包用戶(hù)資金,如給任意賬號(hào)充值等,給用戶(hù)帶來(lái)直接經(jīng)濟(jì)損失。

3.安全建議

1) 建議自定義實(shí)現(xiàn)X509TrustManager時(shí),在checkServerTrusted中對(duì)服務(wù)器信息進(jìn)行嚴(yán)格校驗(yàn)

2)在重寫(xiě)WebViewClient的onReceivedSslError方法時(shí),避免調(diào)用proceed忽略證書(shū)驗(yàn)證錯(cuò)誤信息繼續(xù)加載頁(yè)面

3)在自定義實(shí)現(xiàn)HostnameVerifier時(shí),在verify中對(duì)Hostname進(jìn)行嚴(yán)格校驗(yàn)

4)建議setHostnameVerifier方法中使用STRICT_HOSTNAME_VERIFIER進(jìn)行嚴(yán)格證書(shū)校驗(yàn),避免使用ALLOW_ALL_HOSTNAME_VERIFIER

4.參考

https://en.wikipedia.org/wiki/MITM

https://en.wikipedia.org/wiki/HTTPS

http://drops.wooyun.org/tips/3296


當(dāng)前標(biāo)題:Android安全開(kāi)發(fā)之Https中間人攻擊漏洞
轉(zhuǎn)載來(lái)于:http://m.5511xx.com/article/cdcssso.html