Android静态安全检测 -> WebView忽略SSL证书错误检测
来源:互联网 发布:阿里云ecs安装软件 编辑:程序博客网 时间:2024/05/22 01:36
WebView忽略SSL证书错误检测 -SslErrorHandler.proceed方法
一、API
1. 继承关系
【1】java.lang.Object
【2】android.os.Handler
【3】android.webkit.SslErrorHandler
2. 主要方法
【1】cancel( )
停止加载问题页面
【2】proceed( )
忽略SSL证书错误,继续加载页面
【3】其他方法
参考链接:http://www.apihome.cn/api/android/SslErrorHandler.html
二、触发条件
1. 调用SslErrorHandler类的proceed方法
【1】对应到smali语句中的特征:Landroid/webkit/SslErrorHandler;->proceed()V
2. 方法名:onReceivedSslError
三、漏洞原理
【1】Android WebView组件加载网页发生证书认证错误时,会调用WebViewClient类的onReceivedSslError方法,如果该方法实现调用了handler.proceed()来忽略该证书错误,则会受到中间人攻击的威胁,可能导致隐私泄露
【2】漏洞代码样例
【3】参考链接:http://wolfeye.baidu.com/blog/webview-ignore-ssl-error/
四、修复建议
【1】不调用android.webkit.SslErrorHandler的proceed方法
【2】当发生证书认证错误时,采用默认的处理方法SslErrorHandler.cancel(),停止加载问题页面
0 0
- Android静态安全检测 -> WebView忽略SSL证书错误检测
- Android静态安全检测 -> 证书弱校验
- Android静态安全检测 -> WebView系统隐藏接口漏洞检测
- Android静态安全检测 -> WebView明文存储密码
- Android静态安全检测 -> WebView组件远程代码执行漏洞检测
- Android静态安全检测 -> 代码混淆检测
- Android静态安全检测 -> 系统Root检测
- Android静态安全检测 -> 初始化IvParameterSpec函数错误
- Android静态安全检测 -> 代码动态加载安全检测
- Android静态安全检测 -> WebView File域同源策略绕过漏洞
- Android静态安全检测 -> 随机数使用不安全
- Android静态安全检测 -> allowBackup标志位
- Android静态安全检测 -> 文件任意读写
- Android静态安全检测 -> SharedPreferences任意读写
- Android静态安全检测 -> debuggable标志位
- Android静态安全检测 -> 数据库文件任意读写
- Android静态安全检测 -> Activity组件暴露
- Android静态安全检测 -> Service组件暴露
- 使用vb将excel导入PowerDesigner,生成表结构
- servlet5-过滤器
- BootStrap学习笔记二
- 创建和销毁对象
- 纯CSS绘制三角形(各种角度)
- Android静态安全检测 -> WebView忽略SSL证书错误检测
- Android--面试题整理(二)
- 我遇到的IE的坑(主要是IE8及以上)
- JDBC连接数据库
- Builder模式
- 熵的应用(一)——qjzcy的博客
- Android Volley完全解析
- 排序算法
- 328. Odd Even Linked List