备案控制台
开发者社区 开发与运维 文章 正文

app开发 加强openssl证书校验

2017-11-27 1931
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

更新

1.那么,服务器如何识别客户端的身份?我们如何保证数据传输过程中的安全性?要靠两个东西:使用AppKey做身份识别,使用AppSecret校验数据,最简单有效的办法还是打到.so库中。

2.a和b生成两对公私钥 https://s4.51cto.com/wyfs02/M02/9A/70/wKiom1lV2tOgjaUbAAfY9aWxmNw467.jpg

3.交换公私钥的方法 https://s3.51cto.com/wyfs02/M00/9B/B5/wKioL1lmGSXiAnzRAAFhCQcaUkg121.png-wh_500x0-wm_3-wmp_4-s_2354146804.png

4.中间人攻击

https://ifunbox.top/wp-content/uploads/2017/08/8f8f6a3ae7dc26a66a0d744301fc0e16.png



微信开发


1
2
3
4
5
6
7
8
app appkey和appsecret
oauth2.0,在拥有appkey和appsecret
去读oauth2 的协议文档,读实现源码,自己实现服务端和客户端,折腾一遍就懂了
 
kubernetes API Server 权限管理实践
 
 
证书验证,一对rsa,然后服务器上方




客户端与服务器通信中的安全使者——AppSecret

关于Https安全性问题、双向验证防止中间人攻击问题

http://blog.csdn.net/woddle/article/details/71175140


Android安全开发之安全使用HTTPS

http://www.cnblogs.com/alisecurity/p/5939336.html


1
2
3
4
5
6
7
8
9
10
11
如何加强证书校验
   通过上文第一和第二部分的说明,相信大家已经对https有个大概的了解了,那么问题来了,怎样才能防止这些“中间人攻击”呢?
     app证书校验已经是一个老生常谈的问题了,但是市场上还是有很多的app未做好证书校验,有些只做了部分校验,例如检查证书域名是否匹配证书是否过期,更多数的是根本就不做校验,于是就造成了中间人攻击。做证书校验需要做完全,只做一部分都会导致中间人攻击,对于安全要求并不是特别高的app可使用如下校验方式:
查看证书是否过期
服务器证书上的域名是否和服务器的实际域名相匹配
校验证书链
     可参考http: / / drops.wooyun.org / tips / 3296 ,此类校验方式虽然在导入CA公钥证书到客户端之后会造成中间人攻击,但是攻击门槛已相对较高,所以对于安全要求不是特别高的app可采用此方法进行防御。对于安全有较高要求一些app(例如金融)上述方法或许还未达到要求,那么此时可以使用如下更安全的校验方式,将服务端证书打包放到app里,再建立https链接时使用本地证书和网络下发证书进行一致性校验。
     此类校验即便导入CA公钥证书也无法进行中间人攻击,但是相应的维护成本会相对升高,例如服务器证书过期,证书更换时如果app不升级就无法使用,那么可以改一下,生成一对RSA的公私钥,公钥可硬编码在app,私钥放服务器。 https握手前可通过服务器下发证书信息,例如公钥、办法机构、签名等,该下发的信息使用服务器里的私钥进行签名; 通过app里预置的公钥验签得到证书信息并存在内容中供后续使用; 发起https连接获取服务器的证书,通过对比两个证书信息是否一致进行证书校验。
     这样即可避免强升的问题,但是问题又来了,这样效率是不是低太多了?答案是肯定的,所以对于安全要求一般的应用使用第一种方法即可,对于一些安全要求较高的例如金融企业可选择第二种方法。
     说了挺多,但是该来的问题还是会来啊!现在的app一般采用混合开发,会使用很多webveiw直接加载html5页面,上面的方法只解决了java层证书校验的问题,并没有涉及到webview里面的证书校验,对于这种情况怎么办呢?既然问题来了那么就一起说说解决方案,对于webview加载html5进行证书校验的方法如下:
     webview创建实例加载网页时通过onPageStart方法返回url地址; 将返回的地址转发到java层使用上述的证书校验代码进行进行校验; 如果证书校验出错则使用stoploading()方法停止网页加载,证书校验通过则正常加载。


2种方法

1.将服务端证书打包放到app里,再建立https链接时使用本地证书和网络下发证书进行一致性校验。

或者

2.生成一对RSA的公私钥,公钥可硬编码在app,私钥放服务器


3.对于webview加载html5进行证书校验的方法如下:

    webview创建实例加载网页时通过onPageStart方法返回url地址; 将返回的地址转发到java层使用上述的证书校验代码进行进行校验; 如果证书校验出错则使用stoploading()方法停止网页加载,证书校验通过则正常加载



完整参考

http://wzlinux.blog.51cto.com/8021085/1908858


1.证书未校验

2.部分校验

3.证书链校验

4.手机客户端Https数据包抓取

5.中间人攻击原理

wKioL1jQ5A7hSGXZAAGRJCZQXVg490.jpg

通过读Mitmproxy的源码发现mitmproxy生成伪造证书的函数如下:

wKioL1jQ5JbBhWVLAAQOciW5Ih8154.jpg



本文转自 liqius 51CTO博客,原文链接:http://blog.51cto.com/szgb17/1947065,如需转载请自行联系原作者

文章标签:
安全
Android开发
Java
HTML5
移动开发
关键词:
APP校验
APP开发
APP证书
技术小阿哥
目录
相关文章
你挚爱的强哥
|
1月前
|
移动开发 小程序
如何让uni-app开发的H5页面顶部原生标题和小程序的顶部标题不一致?
如何让uni-app开发的H5页面顶部原生标题和小程序的顶部标题不一致?
你挚爱的强哥
28 0
憧憬blog
|
2月前
|
API 数据安全/隐私保护 iOS开发
利用uni-app 开发的iOS app 发布到App Store全流程
利用uni-app 开发的iOS app 发布到App Store全流程
憧憬blog
103 3
iOS开发欢乐使者
|
2月前
|
Android开发 开发者 UED
个人开发 App 成功上架手机应用市场的关键步骤
个人开发 App 成功上架手机应用市场的关键步骤
iOS开发欢乐使者
57 0
iOS开发欢乐使者
|
2月前
|
开发工具 数据安全/隐私保护 Android开发
【教程】APP 开发后如何上架?
【教程】APP 开发后如何上架?
iOS开发欢乐使者
58 0
2019ab
|
2月前
|
API
uni-app 146朋友圈列表api开发
uni-app 146朋友圈列表api开发
2019ab
19 0
憧憬blog
|
2月前
|
Android开发 iOS开发 开发者
App备案-iOS云管理式证书 Distribution Managed 公钥及证书SHA-1指纹的获取方法
App备案-iOS云管理式证书 Distribution Managed 公钥及证书SHA-1指纹的获取方法
憧憬blog
138 0
桃李春风一杯酒
|
9天前
|
前端开发 Android开发 开发者
【Flutter前端技术开发专栏】Flutter中的混合应用(Hybrid Apps)开发
【4月更文挑战第30天】本文探讨了使用Flutter开发混合应用的方法。混合应用结合Web技术和原生容器,提供快速开发和低成本维护。Flutter,一款现代前端框架,以其插件系统和高性能渲染引擎支持混合应用开发。通过创建Flutter项目、添加平台代码、使用WebView、处理平台间通信以及发布应用,开发者可构建跨平台混合应用。虽然混合应用有性能和用户体验的局限,但Flutter的跨平台兼容性和丰富的插件生态降低了开发成本。开发者应根据项目需求权衡选择。
桃李春风一杯酒
18 0
【Flutter前端技术开发专栏】Flutter中的混合应用(Hybrid Apps)开发
fruge365
|
27天前
|
开发者
【Hbuilder】Hbuilder 原生App-云打包,报错需要打包校验
【Hbuilder】Hbuilder 原生App-云打包,报错需要打包校验
fruge365
16 0
程序三两行
|
1月前
|
移动开发 小程序 前端开发
使用uni-app开发(h5、小程序、app)步骤
使用uni-app开发(h5、小程序、app)步骤
程序三两行
12 0
憧憬blog
|
2月前
|
Java Android开发 开发者
【Uniapp开发】APP的真机调试指南,从开发到上架全过程
【Uniapp开发】APP的真机调试指南,从开发到上架全过程
憧憬blog
43 3

热门文章

最新文章

  • 1
    深入理解 uni-app 中的加载提示:uni.showLoading
  • 2
    uni-app使用v-html输出富文本图片溢出解决
  • 3
    云擎技术---分析工信部APP备案的“传闻”
  • 4
    App测试中,强制等待和隐式等待谁更强?
  • 5
    安卓即时应用(Instant Apps)开发指南
  • 6
    【Hbuilder】Hbuilder 插件[App]云打包安装失败--已解决
  • 7
    深入理解 uni-app 页面生命周期(三):onHide vs onUnload
  • 8
    Android App获取不到pkgInfo信息问题原因
  • 9
    智慧工地SaaS可视化平台源码,PC端+APP端,支持二开,项目使用,微服务+Java++vue+mysql
  • 10
    Vue和uni-app的区别
  • 1
    HC05蓝牙模块与手机APP连接
    47
  • 2
    【微信小程序】-- uni-app 项目-- 购物车 -- 首页 - 轮播图效果(五十二)
    51
  • 3
    【微信小程序】-- uni-app 项目--- 购物车 -- 配置 tabBar 效果(五十一)
    52
  • 4
    【微信小程序】-- uni-app 项目创建 & 目录结构讲解(四十九)
    65
  • 5
    【微信小程序】-- 配置uni-app的开发环境(四十八)
    41
  • 6
    python爬虫之app爬取-微信朋友圈
    93
  • 7
    python爬虫之app爬取-mitmproxy 的使用
    46
  • 8
    python爬虫之app爬取-charles的使用
    71
  • 9
    【问题篇】打包Vue-cli3创建的vue项目成App的apk文件
    30
  • 10
    代驾app开发丨代驾系统开发玩法详情丨代驾系统开发网页版/H5/小程序及源码部署
    32

    • 相关课程

    更多
  • 互联网安全-移动APP漏洞风险与解决方案

    • 相关电子书

    更多
  • 女性移动App安全攻防战
  • 汇聚云计算的生态核能——云市场,云上APP Store
  • 千万级用户直播App——服务端架构设计和思考

    • 相关实验场景

    更多
  • 通过HTTPS加速网关快速部署网站加密
  • 基于阿里云短信服务的防机器人验证
  • 星轨-钉钉APP分发实训
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)