Android 安全之 Https 中间人攻击漏洞
安全 攻击漏洞 应用加固 御安全
0X01概述
HTTPS,是一种网络安全传输协议,利用 来对数据包进行加密以提供对网络
服务器的身份认证,保护交换数据的隐私与完整性。
中间人攻击,,缩写:,是指攻击者与通讯的两端分
别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密
的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。
在理论上是可以抵御 ,但是由于开发过程中的编码不规范,导致 可能
存在 攻击风险,攻击者可以解密、篡改 数据。
0X02https 漏洞
的开发过程中常见的安全缺陷
在自定义实现 !"#$ 时,%# 中没有检查证书是否
可信,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。
&在重写 '()*+ 的 ,%- 方法时,调用 忽略证书验
证错误信息继续加载页面,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危
害。
.在自定义实现 )/ 时,没有在 %01 中进行严格证书校验,导致通信
过程中可能存在中间人攻击,造成敏感数据劫持危害。