4.Android HTTPS中間人攻擊漏洞證明
1) 客戶(hù)端不校驗(yàn)SSL證書(shū)(包含簽名CA是否合法、域名是否匹配、是否自簽名證書(shū)��、證書(shū)是否過(guò)期)包含以下幾種編碼錯(cuò)誤情況:
a. 自實(shí)現(xiàn)的不校驗(yàn)證書(shū)的X509TrustManager接口的Java代碼片段 (其中的checkServerTrusted()方法實(shí)現(xiàn)為空,即不檢查服務(wù)器是否可信):
b. 不檢查站點(diǎn)域名與站點(diǎn)證書(shū)的域名是否匹配的Java代碼片段:
c. 接受任意域名的Java代碼片段:
SSLSocketFactory sf;
……
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
2)針對(duì)某個(gè)不校驗(yàn)SSL證書(shū)的客戶(hù)端進(jìn)行中間人攻擊演示如下圖所示�,可通過(guò)中間人劫持獲取到登錄用戶(hù)名和密碼(該密碼參數(shù)只是對(duì)明文密碼進(jìn)行了一次MD5):
修復(fù)建議
對(duì)SSL證書(shū)進(jìn)行強(qiáng)校驗(yàn)
出于安全考慮,建議對(duì)SSL證書(shū)進(jìn)行強(qiáng)校驗(yàn)(簽名CA是否合法���、證書(shū)是否是自簽名、主機(jī)域名是否匹配���、證書(shū)是否過(guò)期等)����,詳細(xì)修復(fù)方案請(qǐng)參照Google官方關(guān)于SSL的安全建議���。
小編推薦閱讀
