4.Android HTTPS中間人攻擊漏洞證明
1) 客戶端不校驗SSL證書(包含簽名CA是否合法��、域名是否匹配、是否自簽名證書���、證書是否過期)包含以下幾種編碼錯誤情況:
a. 自實現(xiàn)的不校驗證書的X509TrustManager接口的Java代碼片段 (其中的checkServerTrusted()方法實現(xiàn)為空,即不檢查服務(wù)器是否可信):
b. 不檢查站點域名與站點證書的域名是否匹配的Java代碼片段:
c. 接受任意域名的Java代碼片段:
SSLSocketFactory sf;
……
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
2)針對某個不校驗SSL證書的客戶端進行中間人攻擊演示如下圖所示�����,可通過中間人劫持獲取到登錄用戶名和密碼(該密碼參數(shù)只是對明文密碼進行了一次MD5):
修復(fù)建議
對SSL證書進行強校驗
出于安全考慮����,建議對SSL證書進行強校驗(簽名CA是否合法、證書是否是自簽名�、主機域名是否匹配、證書是否過期等)�����,詳細修復(fù)方案請參照Google官方關(guān)于SSL的安全建議���。
小編推薦閱讀
