Android常见安全风险点之HTTPS不校验证书

HTTPS禁止使用ALLOW_ALL_HOSTNAME_VERIFIER,因为这样会存在中间人攻击的风险。

必须使用STRICT_HOSTNAME_VERIFIER并校验证书,详细修复方案请参照Google官方关于SSL的安全建议:https://developer.android.com/training/articles/security-ssl.html。

在乌云漏洞平台上,有大量存在HTTPS证书不校验漏洞,例如国内绝大部分Android APP存在信任所有证书漏洞、亚马逊最新官方android版存在一处信任所有证书漏洞、Yahoo雅虎在国内访问遭遇SSL中间人攻击、携程旅游网最新android客户端https未校验证书导致https通信内容完全被捕获。

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
相关推荐:
安卓开发的常见问题之Android软键盘把控件往上挤的解决办法
键盘区域外才是屏幕的边缘,定义布局文件时使用:android:gravity="bottom"的话就会被挤到上部。 解决办法: 在此工程的androidMainfest.xml文件中对应的Activity中写入 android:windowSoftInputMode="adjustPan" 或 …
Android开发中防止旋转屏幕时WebView重新加载
默认情况下当旋转屏幕时,WebView将重新加载整个页面。怎么解决旋转时屏幕会从loadUrl()方法重新加载原始URL的问题? 无需Java编码,在配置文件中这样配置: android:configChanges="keyboard|keyboardHidden|orie …
Android常见安全风险点之导出activity组件
原因在于导出activity,任何软件都可以调用它,包括攻击者编写的软件,可能产生恶意调用,应用会产生拒绝服务等问题。 遇到这样的问题,如果它们只被同一个软件中的代码调用,将activity属性改为android:exported="f …
安卓开发的常见问题之无法使用网络
在AndroidMainifest.xml中增加允许使用网络选项(在</application>结束标签之后>): <uses-permission android:name="android.permission.INTERNET" /> …
Android常见安全风险点之webview使用三方插件风险
当系统辅助功能中的任意一项服务被开启后,所有由系统提供的WebView都会被加入两个JS objects,分别为是”accessibility” 和 “accessibilityTraversal”,如果应用使用了系统的WebView,并且设置了setJavaScriptEnable …
拿起手机扫一扫即可带走我!