主机名弱校验 - HostnameVerifier.verify方法


一、API


1. 继承关系


【1】javax.net.ssl.HostnameVerifier

【2】public interface HostnameVerifier


2. 主要方法


【1】verify(String hostname, SSLSession session)

         校验服务器主机名


【2】参考链接


https://developer.android.com/reference/javax/net/ssl/HostnameVerifier.html


3. 示例


【1】verify方法,接受任意域名服务器


【2】参考链接


http://pingguohe.net/2016/02/26/Android-App-secure-ssl.html

二、触发条件


1. 自定义实现HostnameVerifier


【1】对应到smali语句中的特征

         .implements Ljavax/net/ssl/HostnameVerifier;


2. verify方法中的语句


【1】定位verify方法

         .method public verify(Ljava/lang/String;Ljavax/net/ssl/SSLSession;)Z


【2】verify方法内的语句判断

         const v0, 0x1

         return v0


3. 漏洞代码示例

三、漏洞原理


【1】自定义实现的HostnameVerifier子类中,未对主机名做验证,默认接受所有域名,会存在安全风险,可能会导致恶意程序利用中间人攻击绕过主机名校验


【2】更多内容


http://pingguohe.net/2016/02/26/Android-App-secure-ssl.html


http://www.droidsec.cn/android-https中间人劫持漏洞浅析/


https://jaq.alibaba.com/community/art/show?spm=a313e.7975615.40002100.4.1ooXUl&articleid=60

四、修复建议


【1】利用HostnameVerifier子类中的verify函数,校验服务器主机名的合法性

点击阅读全文
Logo
CSDN学习社区

CSDN联合极客时间,共同打造面向开发者的精品内容学习社区,助力成长!

更多推荐

嵌入式作业(七):基于Ardunio的STM32串口通信

嵌入式作业(七)0作业要求1Ardunio 完成STM32的串口通信(1)安装Ardunio IDE(2)stm32串口通信2关于 stduino IDE0作业要求安装 Ardunio IDE 和相关软件支持库,在Ardunio 完成STM32板子的串口通信程序:(1)持续向串口输出“Hello world!”;(2)当接收到“stop!”时,停止输出。网上有一个国人版的MCU集成开发平台, st

avatar CSDN学习社区

JDBC详解

JDBC文章目录JDBC什么是JDBC?JDBC驱动程序:Java使用JDBC访问数据库的步骤:设置classpath:Oracle连接字符串的书写格式:简单的例子:常用数据库的驱动程序及JDBC URL:Oracle数据库:SQL Server数据库MySQL数据库Access数据库PreparedStatement接口:JNDI-数据源(Data Source)与连接池(Connection

avatar CSDN学习社区

“模式识别与机器学习”学习笔记no2.再谈感知机

接**上篇:上篇主要进行了PLA,Pocket算法的理论过程分析和在给定数据集上利用pocket算法对数据集进行分类学习,得到错分数量最少的分类面。上篇中pocket算法的过程已经进行了编程和测试,框架已经建立了起来,这一篇主要上篇中没有提到或涉及不深的几个问题。1.数据集的构造。上篇是直接使用了题目给的向量,这次来根据正态分布来产生数据集。np.random.normal函数可以根据均值和方差生

avatar CSDN学习社区