日韩精品亚洲精品中文字幕乱伦AV|曰韩区二区三区日韩中文字幕五码|ady99久久人人看人人摸人人|动漫一区二区黄99精品视频在线|AV片在线观看亚洲中文国产精品|伦乱在线VA欧美性爱一二区|亚洲无码mv91热色视频|激情六月综合欧美精品中文

當(dāng)前位置:首頁(yè) > 軟件開放 > 正文內(nèi)容

左右滾動(dòng)banner代碼(左右滾動(dòng)圖片html)

軟件開放1年前 (2023-12-26)504

安卓進(jìn)階漲薪訓(xùn)練營(yíng),讓一部分人先進(jìn)大廠

大家好,我是皇叔,最近開了一個(gè)安卓進(jìn)階漲薪訓(xùn)練營(yíng),可以幫助大家突破技術(shù)職場(chǎng)瓶頸,從而度過(guò)難關(guān),進(jìn)入心儀的公司。

詳情見(jiàn)文章: 沒(méi)錯(cuò)!皇叔開了個(gè)訓(xùn)練營(yíng)

1.整體概述介紹

1.1 項(xiàng)目背景

通訊安全是App安全檢測(cè)過(guò)程中非常重要的一項(xiàng)。

針對(duì)該項(xiàng)的主要檢測(cè)手段就是使用中間人代理機(jī)制對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行抓包、攔截和篡改,以檢驗(yàn)App在核心鏈路上是否有安全漏洞。

保證數(shù)據(jù)安全。

通過(guò)charles等工具可以對(duì)app的網(wǎng)絡(luò)請(qǐng)求進(jìn)行抓包,這樣這些信息就會(huì)被清除的提取出來(lái),會(huì)被不法分子進(jìn)行利用。

不想被競(jìng)爭(zhēng)對(duì)手逆向抓包。

不想自身App的數(shù)據(jù)被別人輕而易舉地抓包獲取到,從而進(jìn)行類似業(yè)務(wù)或數(shù)據(jù)分析、爬蟲或網(wǎng)絡(luò)攻擊等破壞性行為。

通訊安全是App安全檢測(cè)過(guò)程中非常重要的一項(xiàng)。

針對(duì)該項(xiàng)的主要檢測(cè)手段就是使用中間人代理機(jī)制對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行抓包、攔截和篡改,以檢驗(yàn)App在核心鏈路上是否有安全漏洞。

針對(duì)該項(xiàng)的主要檢測(cè)手段就是使用中間人代理機(jī)制對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行抓包、攔截和篡改,以檢驗(yàn)App在核心鏈路上是否有安全漏洞。

保證數(shù)據(jù)安全。

通過(guò)charles等工具可以對(duì)app的網(wǎng)絡(luò)請(qǐng)求進(jìn)行抓包,這樣這些信息就會(huì)被清除的提取出來(lái),會(huì)被不法分子進(jìn)行利用。

通過(guò)charles等工具可以對(duì)app的網(wǎng)絡(luò)請(qǐng)求進(jìn)行抓包,這樣這些信息就會(huì)被清除的提取出來(lái),會(huì)被不法分子進(jìn)行利用。

不想被競(jìng)爭(zhēng)對(duì)手逆向抓包。

不想自身App的數(shù)據(jù)被別人輕而易舉地抓包獲取到,從而進(jìn)行類似業(yè)務(wù)或數(shù)據(jù)分析、爬蟲或網(wǎng)絡(luò)攻擊等破壞性行為。

不想自身App的數(shù)據(jù)被別人輕而易舉地抓包獲取到,從而進(jìn)行類似業(yè)務(wù)或數(shù)據(jù)分析、爬蟲或網(wǎng)絡(luò)攻擊等破壞性行為。

開發(fā)項(xiàng)目的時(shí)候,都需要抓包,很多情況下即使是Https也能正常抓包正常。那么問(wèn)題來(lái)了:

抓包的原理是?任何Https的 app 都能抓的到嗎?如果不能,哪些情況下可以抓取,哪些情況下抓取不到?

什么叫做中間人攻擊?

使用HTTPS協(xié)議進(jìn)行通信時(shí),客戶端需要對(duì)服務(wù)器身份進(jìn)行完整性校驗(yàn),以確認(rèn)服務(wù)器是真實(shí)合法的目標(biāo)服務(wù)器。

如果沒(méi)有校驗(yàn),客戶端可能與仿冒的服務(wù)器建立通信鏈接,即“中間人攻擊”。

展開全文

開發(fā)項(xiàng)目的時(shí)候,都需要抓包,很多情況下即使是Https也能正常抓包正常。那么問(wèn)題來(lái)了:

抓包的原理是?任何Https的 app 都能抓的到嗎?如果不能,哪些情況下可以抓取,哪些情況下抓取不到?

抓包的原理是?任何Https的 app 都能抓的到嗎?如果不能,哪些情況下可以抓取,哪些情況下抓取不到?

什么叫做中間人攻擊?

使用HTTPS協(xié)議進(jìn)行通信時(shí),客戶端需要對(duì)服務(wù)器身份進(jìn)行完整性校驗(yàn),以確認(rèn)服務(wù)器是真實(shí)合法的目標(biāo)服務(wù)器。

如果沒(méi)有校驗(yàn),客戶端可能與仿冒的服務(wù)器建立通信鏈接,即“中間人攻擊”。

使用HTTPS協(xié)議進(jìn)行通信時(shí),客戶端需要對(duì)服務(wù)器身份進(jìn)行完整性校驗(yàn),以確認(rèn)服務(wù)器是真實(shí)合法的目標(biāo)服務(wù)器。

如果沒(méi)有校驗(yàn),客戶端可能與仿冒的服務(wù)器建立通信鏈接,即“中間人攻擊”。

防止App被各種方式抓包。

做好各種防抓包安全措施,避免各種黑科技抓包。

沉淀為技術(shù)庫(kù)復(fù)用。

目前只是針對(duì)App端有需要做防抓包措施,后期其他業(yè)務(wù)線可能也有這個(gè)需要。因此下沉為工具庫(kù),傻瓜式調(diào)用很有必要。

該庫(kù)終極設(shè)計(jì)目標(biāo)如下所示。

第一點(diǎn):必須是低入侵性,對(duì)原有代碼改動(dòng)少,最簡(jiǎn)單的加入是一行代碼設(shè)置即可。完全解耦合。

第二點(diǎn):可以動(dòng)態(tài)靈活配置,支持配置禁止代理,支持配置是否證書校驗(yàn),支持配置域名合法性過(guò)濾,支持?jǐn)r截器加解密數(shù)據(jù)。

第三點(diǎn):可以檢測(cè)App是否在雙開,掛載,Xposed攻擊環(huán)境。

第四點(diǎn):可以靈活設(shè)置加解密的key,可以靈活替換加解密方式,比如目前采用RC4,另一個(gè)項(xiàng)目想用DES,可以靈活更換。

防止App被各種方式抓包。

做好各種防抓包安全措施,避免各種黑科技抓包。

做好各種防抓包安全措施,避免各種黑科技抓包。

沉淀為技術(shù)庫(kù)復(fù)用。

目前只是針對(duì)App端有需要做防抓包措施,后期其他業(yè)務(wù)線可能也有這個(gè)需要。因此下沉為工具庫(kù),傻瓜式調(diào)用很有必要。

目前只是針對(duì)App端有需要做防抓包措施,后期其他業(yè)務(wù)線可能也有這個(gè)需要。因此下沉為工具庫(kù),傻瓜式調(diào)用很有必要。

該庫(kù)終極設(shè)計(jì)目標(biāo)如下所示。

第一點(diǎn):必須是低入侵性,對(duì)原有代碼改動(dòng)少,最簡(jiǎn)單的加入是一行代碼設(shè)置即可。完全解耦合。

第二點(diǎn):可以動(dòng)態(tài)靈活配置,支持配置禁止代理,支持配置是否證書校驗(yàn),支持配置域名合法性過(guò)濾,支持?jǐn)r截器加解密數(shù)據(jù)。

第三點(diǎn):可以檢測(cè)App是否在雙開,掛載,Xposed攻擊環(huán)境。

第四點(diǎn):可以靈活設(shè)置加解密的key,可以靈活替換加解密方式,比如目前采用RC4,另一個(gè)項(xiàng)目想用DES,可以靈活更換。

第一點(diǎn):必須是低入侵性,對(duì)原有代碼改動(dòng)少,最簡(jiǎn)單的加入是一行代碼設(shè)置即可。完全解耦合。

第二點(diǎn):可以動(dòng)態(tài)靈活配置,支持配置禁止代理,支持配置是否證書校驗(yàn),支持配置域名合法性過(guò)濾,支持?jǐn)r截器加解密數(shù)據(jù)。

第三點(diǎn):可以檢測(cè)App是否在雙開,掛載,Xposed攻擊環(huán)境。

第四點(diǎn):可以靈活設(shè)置加解密的key,可以靈活替換加解密方式,比如目前采用RC4,另一個(gè)項(xiàng)目想用DES,可以靈活更換。

抓包庫(kù)收益。

提高產(chǎn)品App的數(shù)據(jù)安全,必須對(duì)數(shù)據(jù)傳輸做好安全保護(hù)措施和完整性校驗(yàn),以防止自身數(shù)據(jù)在網(wǎng)絡(luò)傳輸中裸奔,甚至是被三方惡意利用或攻擊。

技能的收益。

下沉為功能基礎(chǔ)庫(kù),可以方便各個(gè)產(chǎn)品線使用,提高開發(fā)的效率。避免跟業(yè)務(wù)解耦合。傻瓜式調(diào)用,低成本接入!

抓包庫(kù)收益。

提高產(chǎn)品App的數(shù)據(jù)安全,必須對(duì)數(shù)據(jù)傳輸做好安全保護(hù)措施和完整性校驗(yàn),以防止自身數(shù)據(jù)在網(wǎng)絡(luò)傳輸中裸奔,甚至是被三方惡意利用或攻擊。

提高產(chǎn)品App的數(shù)據(jù)安全,必須對(duì)數(shù)據(jù)傳輸做好安全保護(hù)措施和完整性校驗(yàn),以防止自身數(shù)據(jù)在網(wǎng)絡(luò)傳輸中裸奔,甚至是被三方惡意利用或攻擊。

技能的收益。

下沉為功能基礎(chǔ)庫(kù),可以方便各個(gè)產(chǎn)品線使用,提高開發(fā)的效率。避免跟業(yè)務(wù)解耦合。傻瓜式調(diào)用,低成本接入!

2.市面抓包的分析

2.1 Https三要素

要清楚HTTPS抓包的原理,首先需要先說(shuō)清楚 HTTPS 實(shí)現(xiàn)數(shù)據(jù)安全傳輸?shù)墓ぷ髟?,主要分為三要素和三階段。

Http傳輸數(shù)據(jù)目前存在的問(wèn)題:

1.通信使用明文,內(nèi)容可能被竊聽;

2.不驗(yàn)證通信方的身份,因此可能遭遇偽裝;

3.無(wú)法證明報(bào)文的完整性,所以有可能遭到篡改。

Https三要素分別是:

1. 加密:通過(guò)對(duì)稱加密算法實(shí)現(xiàn)。

2. 認(rèn)證:通過(guò)數(shù)字簽名實(shí)現(xiàn)。(因?yàn)樗借€只有 “合法的發(fā)送方” 持有,其他人偽造的數(shù)字簽名無(wú)法通過(guò)驗(yàn)證)

3. 報(bào)文完整性:通過(guò)數(shù)字簽名實(shí)現(xiàn)。(因?yàn)閿?shù)字簽名中使用了消息摘要,其他人篡改的消息無(wú)法通過(guò)驗(yàn)證)

Https三階段分別是:

1. CA 證書校驗(yàn):CA 證書校驗(yàn)發(fā)生在 TLS 的前兩次握手,客戶端和服務(wù)端通過(guò)報(bào)文獲得服務(wù)端 CA 證書,客戶端驗(yàn)證 CA 證書合法性,從而確認(rèn) CA 證書中的公鑰合法性(大多數(shù)場(chǎng)景不會(huì)做雙向認(rèn)證,即服務(wù)端不會(huì)認(rèn)證客戶端合法性,這里先不考慮)。

2. 密鑰協(xié)商:密鑰協(xié)商發(fā)生在 TLS 的后兩次握手,客戶端和服務(wù)端分別基于公鑰和私鑰進(jìn)行非對(duì)稱加密通信,協(xié)商獲得 Master Secret 對(duì)稱加密私鑰(不同算法的協(xié)商過(guò)程細(xì)節(jié)略有不同)。

3. 數(shù)據(jù)傳輸:數(shù)據(jù)傳輸發(fā)生在 TLS 握手之后,客戶端和服務(wù)端基于協(xié)商的對(duì)稱密鑰進(jìn)行對(duì)稱加密通信。

Https流程圖如下:

2.2 抓包核心原理

HTTPS抓包原理。

Fiddler、Charles等抓包工具,其實(shí)都是采用了中間人攻擊的方案:將客戶端的網(wǎng)絡(luò)流量代理到MITM(中間人)主機(jī),再通過(guò)一系列的面板或工具將網(wǎng)絡(luò)請(qǐng)求結(jié)構(gòu)化地呈現(xiàn)出來(lái)。

抓包Https有兩個(gè)突破點(diǎn)。

CA證書校驗(yàn)是否合法;數(shù)據(jù)傳遞過(guò)程中的加密和解密。如果是要抓包,則需要突破這兩點(diǎn)的技術(shù),無(wú)非就是MITM(中間人)偽造證書和使用自己的加解密方式。

抓包的工作流程如下:

中間人截獲客戶端向發(fā)起的HTTPS請(qǐng)求,佯裝客戶端,向真實(shí)的服務(wù)器發(fā)起請(qǐng)求;

中間人截獲真實(shí)服務(wù)器的返回,佯裝真實(shí)服務(wù)器,向客戶端發(fā)送數(shù)據(jù);

中間人獲取了用來(lái)加密服務(wù)器公鑰的非對(duì)稱秘鑰和用來(lái)加密數(shù)據(jù)的對(duì)稱秘鑰,處理數(shù)據(jù)加解密。

HTTPS抓包原理。

Fiddler、Charles等抓包工具,其實(shí)都是采用了中間人攻擊的方案:將客戶端的網(wǎng)絡(luò)流量代理到MITM(中間人)主機(jī),再通過(guò)一系列的面板或工具將網(wǎng)絡(luò)請(qǐng)求結(jié)構(gòu)化地呈現(xiàn)出來(lái)。

Fiddler、Charles等抓包工具,其實(shí)都是采用了中間人攻擊的方案:將客戶端的網(wǎng)絡(luò)流量代理到MITM(中間人)主機(jī),再通過(guò)一系列的面板或工具將網(wǎng)絡(luò)請(qǐng)求結(jié)構(gòu)化地呈現(xiàn)出來(lái)。

抓包Https有兩個(gè)突破點(diǎn)。

CA證書校驗(yàn)是否合法;數(shù)據(jù)傳遞過(guò)程中的加密和解密。如果是要抓包,則需要突破這兩點(diǎn)的技術(shù),無(wú)非就是MITM(中間人)偽造證書和使用自己的加解密方式。

CA證書校驗(yàn)是否合法;數(shù)據(jù)傳遞過(guò)程中的加密和解密。如果是要抓包,則需要突破這兩點(diǎn)的技術(shù),無(wú)非就是MITM(中間人)偽造證書和使用自己的加解密方式。

抓包的工作流程如下:

中間人截獲客戶端向發(fā)起的HTTPS請(qǐng)求,佯裝客戶端,向真實(shí)的服務(wù)器發(fā)起請(qǐng)求;

中間人截獲真實(shí)服務(wù)器的返回,佯裝真實(shí)服務(wù)器,向客戶端發(fā)送數(shù)據(jù);

中間人獲取了用來(lái)加密服務(wù)器公鑰的非對(duì)稱秘鑰和用來(lái)加密數(shù)據(jù)的對(duì)稱秘鑰,處理數(shù)據(jù)加解密。

中間人截獲客戶端向發(fā)起的HTTPS請(qǐng)求,佯裝客戶端,向真實(shí)的服務(wù)器發(fā)起請(qǐng)求;

中間人截獲真實(shí)服務(wù)器的返回,佯裝真實(shí)服務(wù)器,向客戶端發(fā)送數(shù)據(jù);

中間人獲取了用來(lái)加密服務(wù)器公鑰的非對(duì)稱秘鑰和用來(lái)加密數(shù)據(jù)的對(duì)稱秘鑰,處理數(shù)據(jù)加解密。

左右滾動(dòng)banner代碼(左右滾動(dòng)圖片html)

Https抓包核心CA證書。

HTTPS抓包的原理還是挺簡(jiǎn)單的,簡(jiǎn)單來(lái)說(shuō),就是Charles作為“中間人代理”,拿到了服務(wù)器證書公鑰和HTTPS連接的對(duì)稱密鑰。

前提是客戶端選擇信任并安裝Charles的CA證書,否則客戶端就會(huì)“報(bào)警”并中止連接。這樣看來(lái),HTTPS還是很安全的。

安裝CA證書到手機(jī)中必須洗白。

抓包應(yīng)用內(nèi)置的 CA 證書要洗白,必須安裝到系統(tǒng)中。而 Android 系統(tǒng)將 CA 證書又分為兩種:用戶 CA 證書和系統(tǒng) CA 證書(必要Root權(quán)限)。

Android從7.0開始限制CA證書。

只有系統(tǒng)(system)證書才會(huì)被信任。用戶(user)導(dǎo)入的Charles根證書是不被信任的。相當(dāng)于可以理解Android系統(tǒng)增加了安全校驗(yàn)!

如何繞過(guò)CA證書這種限制呢?已知有以下四種方式:

第一種方式: AndroidManifest 中配置 networkSecurityConfig,App 信任用戶 CA 證書,讓系統(tǒng)對(duì)用戶 CA 證書的校驗(yàn)給予通過(guò)。

第二種方式:調(diào)低 targetSdkVersion 24,不過(guò)這種方式谷歌市場(chǎng)有限制,意味著抓 HTTPS 的包越來(lái)越難操作。

第三種方式:掛載App抓包,VirtualApp 這種多開應(yīng)用可以作為宿主系統(tǒng)來(lái)運(yùn)行其它應(yīng)用,利用xposed避開CA證書校驗(yàn)。

第四種方式:Root手機(jī),把 CA 證書安裝到系統(tǒng) CA 證書目錄中,那這個(gè)假 CA 證書就是真正洗白了,難度較大。

Https抓包核心CA證書。

HTTPS抓包的原理還是挺簡(jiǎn)單的,簡(jiǎn)單來(lái)說(shuō),就是Charles作為“中間人代理”,拿到了服務(wù)器證書公鑰和HTTPS連接的對(duì)稱密鑰。

前提是客戶端選擇信任并安裝Charles的CA證書,否則客戶端就會(huì)“報(bào)警”并中止連接。這樣看來(lái),HTTPS還是很安全的。

HTTPS抓包的原理還是挺簡(jiǎn)單的,簡(jiǎn)單來(lái)說(shuō),就是Charles作為“中間人代理”,拿到了服務(wù)器證書公鑰和HTTPS連接的對(duì)稱密鑰。

前提是客戶端選擇信任并安裝Charles的CA證書,否則客戶端就會(huì)“報(bào)警”并中止連接。這樣看來(lái),HTTPS還是很安全的。

安裝CA證書到手機(jī)中必須洗白。

抓包應(yīng)用內(nèi)置的 CA 證書要洗白,必須安裝到系統(tǒng)中。而 Android 系統(tǒng)將 CA 證書又分為兩種:用戶 CA 證書和系統(tǒng) CA 證書(必要Root權(quán)限)。

抓包應(yīng)用內(nèi)置的 CA 證書要洗白,必須安裝到系統(tǒng)中。而 Android 系統(tǒng)將 CA 證書又分為兩種:用戶 CA 證書和系統(tǒng) CA 證書(必要Root權(quán)限)。

Android從7.0開始限制CA證書。

只有系統(tǒng)(system)證書才會(huì)被信任。用戶(user)導(dǎo)入的Charles根證書是不被信任的。相當(dāng)于可以理解Android系統(tǒng)增加了安全校驗(yàn)!

只有系統(tǒng)(system)證書才會(huì)被信任。用戶(user)導(dǎo)入的Charles根證書是不被信任的。相當(dāng)于可以理解Android系統(tǒng)增加了安全校驗(yàn)!

如何繞過(guò)CA證書這種限制呢?已知有以下四種方式:

第一種方式: AndroidManifest 中配置 networkSecurityConfig,App 信任用戶 CA 證書,讓系統(tǒng)對(duì)用戶 CA 證書的校驗(yàn)給予通過(guò)。

第二種方式:調(diào)低 targetSdkVersion 24,不過(guò)這種方式谷歌市場(chǎng)有限制,意味著抓 HTTPS 的包越來(lái)越難操作。

第三種方式:掛載App抓包,VirtualApp 這種多開應(yīng)用可以作為宿主系統(tǒng)來(lái)運(yùn)行其它應(yīng)用,利用xposed避開CA證書校驗(yàn)。

第四種方式:Root手機(jī),把 CA 證書安裝到系統(tǒng) CA 證書目錄中,那這個(gè)假 CA 證書就是真正洗白了,難度較大。

第一種方式: AndroidManifest 中配置 networkSecurityConfig,App 信任用戶 CA 證書,讓系統(tǒng)對(duì)用戶 CA 證書的校驗(yàn)給予通過(guò)。

第二種方式:調(diào)低 targetSdkVersion 24,不過(guò)這種方式谷歌市場(chǎng)有限制,意味著抓 HTTPS 的包越來(lái)越難操作。

第三種方式:掛載App抓包,VirtualApp 這種多開應(yīng)用可以作為宿主系統(tǒng)來(lái)運(yùn)行其它應(yīng)用,利用xposed避開CA證書校驗(yàn)。

第四種方式:Root手機(jī),把 CA 證書安裝到系統(tǒng) CA 證書目錄中,那這個(gè)假 CA 證書就是真正洗白了,難度較大。

App版本如何讓證書校驗(yàn)安全。

1.設(shè)置targetSdkVersion大于24,去掉清單文件中networkSecurityConfig文件中的system和user配置,設(shè)置不信任用戶證書。

2.公鑰證書固定。指 Client 端內(nèi)置 Server 端真正的公鑰證書。在 HTTPS 請(qǐng)求時(shí),Server 端發(fā)給客戶端的公鑰證書必須與 Client 端內(nèi)置的公鑰證書一致,請(qǐng)求才會(huì)成功。

? 證書固定的一般做法是,將公鑰證書(.crt 或者 .cer 等格式)內(nèi)置到 App 中,然后創(chuàng)建TrustManager 時(shí)將公鑰證書加進(jìn)去。

那么如何突破CA證書校驗(yàn)。

第一種:JustTrustMe破解證書固定。Xposed 和 Magisk 都有相應(yīng)的模塊,用來(lái)破解證書固定,實(shí)現(xiàn)正常抓包。破解的原理大致是,Hook 創(chuàng)建 SSLContext 等涉及 TrustManager相關(guān)的方法,將固定的證書移除。

第二種:基于 VirtualApp 的 Hook 機(jī)制破解證書固定。在 VirtualApp 中加入 Hook 代碼,然后利用 VirtualApp 打開目標(biāo)應(yīng)用進(jìn)行抓包。具體看:VirtualHook。

https://github.com/PAGalaxyLab/VirtualHook

2.5 如何搞定加解密

? 目前使用對(duì)稱加密和解密請(qǐng)求和響應(yīng)數(shù)據(jù)。

加密和解密都是用相同密鑰。只有一把密鑰,如果密鑰暴露,內(nèi)容就會(huì)暴露。但是這一塊逆向破解有些難度。而破解解密方式就是用密鑰逆向解密,或者中間人冒充使用自己的加解密方式!

? 加密后數(shù)據(jù)鎮(zhèn)兼顧了安全性嗎?

不一定安全。中間人偽造自己的公鑰和私鑰,然后攔截信息,進(jìn)行篡改。

2.6 Charles原理

? Charles類似代理服務(wù)器

Charles 通過(guò)將軟件本身設(shè)置成系統(tǒng)的網(wǎng)絡(luò)訪問(wèn)代理服務(wù)器,使得所有的網(wǎng)絡(luò)請(qǐng)求都會(huì)走一遍 Charles 代理,從而 Charles 可以截取經(jīng)過(guò)它的請(qǐng)求,然后我們就可以對(duì)其進(jìn)行網(wǎng)絡(luò)包的分析。

? 截取設(shè)備網(wǎng)絡(luò)封包數(shù)據(jù)

Charles對(duì)應(yīng)設(shè)置:將代理功能打開,并設(shè)置一個(gè)固定的端口。默認(rèn)情況下,端口號(hào)為:8888 。

移動(dòng)設(shè)備設(shè)置:在手機(jī)上設(shè)置 WIFI 的 HTTP 代理。注意這里的前提是,Phone 和 Charles 代理設(shè)備鏈接的是同一網(wǎng)絡(luò)(同一個(gè)ip地址和端口號(hào))。

? 截取Https的網(wǎng)絡(luò)封包

正常情況下,Charles 是不能截取Https的網(wǎng)絡(luò)包的,這涉及到 Https 的證書問(wèn)題。

2.7 抓包原理圖

Charles抓包原理圖:

Android上的網(wǎng)絡(luò)抓包原來(lái)是這樣工作的:

Charles抓包:

https://mp.weixin.qq.com/s/kqMUbHl59V75w8xBxHbXkA

2.8 抓包核心流程

? 抓包核心流程關(guān)鍵節(jié)點(diǎn):

第一步,客戶端向服務(wù)器發(fā)起HTTPS請(qǐng)求,charles截獲客戶端發(fā)送給服務(wù)器的HTTPS請(qǐng)求,charles偽裝成客戶端向服務(wù)器發(fā)送請(qǐng)求進(jìn)行握手 。

第二步,服務(wù)器發(fā)回相應(yīng),charles獲取到服務(wù)器的CA證書,用根證書(這里的根證書是CA認(rèn)證中心給自己頒發(fā)的證書)公鑰進(jìn)行解密,驗(yàn)證服務(wù)器數(shù)據(jù)簽名,獲取到服務(wù)器CA證書公鑰。然后charles偽造自己的CA證書(這里的CA證書,也是根證書,只不過(guò)是charles偽造的根證書),冒充服務(wù)器證書傳遞給客戶端瀏覽器。

第三步,與普通過(guò)程中客戶端的操作相同,客戶端根據(jù)返回的數(shù)據(jù)進(jìn)行證書校驗(yàn)、生成密碼Pre_master、用charles偽造的證書公鑰加密,并生成HTTPS通信用的對(duì)稱密鑰enc_key。

第四步,客戶端將重要信息傳遞給服務(wù)器,又被charles截獲。charles將截獲的密文用自己偽造證書的私鑰解開,獲得并計(jì)算得到HTTPS通信用的對(duì)稱密鑰enc_key。charles將對(duì)稱密鑰用服務(wù)器證書公鑰加密傳遞給服務(wù)器。

第五步,與普通過(guò)程中服務(wù)器端的操作相同,服務(wù)器用私鑰解開后建立信任,然后再發(fā)送加密的握手消息給客戶端。

第六步,charles截獲服務(wù)器發(fā)送的密文,用對(duì)稱密鑰解開,再用自己偽造證書的私鑰加密傳給客戶端。

第七步,客戶端拿到加密信息后,用公鑰解開,驗(yàn)證HASH。握手過(guò)程正式完成,客戶端與服務(wù)器端就這樣建立了”信任“。

? 在之后的正常加密通信過(guò)程中,charles如何在服務(wù)器與客戶端之間充當(dāng)?shù)谌吣兀?/p>

服務(wù)器—客戶端:charles接收到服務(wù)器發(fā)送的密文,用對(duì)稱密鑰解開,獲得服務(wù)器發(fā)送的明文。再次加密, 發(fā)送給客戶端。

客戶端—服務(wù)端:客戶端用對(duì)稱密鑰加密,被charles截獲后,解密獲得明文。再次加密,發(fā)送給服務(wù)器端。由于charles一直擁有通信用對(duì)稱密鑰enc_key,所以在整個(gè)HTTPS通信過(guò)程中信息對(duì)其透明。

3.防止抓包思路

3.1 先看如何抓包

使用Charles需要做哪些操作:

1. 電腦上需要安裝證書。這個(gè)主要是讓Charles充當(dāng)中間人,頒布自己的CA證書。

2. 手機(jī)上需要安裝證書。這個(gè)是訪問(wèn)Charles獲取手機(jī)證書,然后安裝即可。

3. Android項(xiàng)目代碼設(shè)置兼容。Google 推出更加嚴(yán)格的安全機(jī)制,應(yīng)用默認(rèn)不信任用戶證書(手機(jī)里自己安裝證書),自己的app可以通過(guò)配置解決,相當(dāng)于信任證書的一種操作!

尤其可知抓包的突破口集中以下幾點(diǎn):

第一點(diǎn):必須鏈接代理,且跟Charles要具有相同ip。 思路:客戶端是否可以判斷網(wǎng)絡(luò)是否被代理了。

第二點(diǎn):CA證書,這一塊避免使用黑科技hook證書校驗(yàn)代碼,或者擁有修改CA證書權(quán)限。 思路:集中在可以判斷是否掛載。

第三點(diǎn):冒充中間人CA證書,在客戶端client和服務(wù)端server之間篡改攔截?cái)?shù)據(jù)。 思路:可以做CA證書校驗(yàn)。

第四點(diǎn):為了可以在7.0上抓包,App往往配置清單文件 networkSecurityConfig。 思路:線上環(huán)境去掉該配置。

使用Charles需要做哪些操作:

1. 電腦上需要安裝證書。這個(gè)主要是讓Charles充當(dāng)中間人,頒布自己的CA證書。

2. 手機(jī)上需要安裝證書。這個(gè)是訪問(wèn)Charles獲取手機(jī)證書,然后安裝即可。

3. Android項(xiàng)目代碼設(shè)置兼容。Google 推出更加嚴(yán)格的安全機(jī)制,應(yīng)用默認(rèn)不信任用戶證書(手機(jī)里自己安裝證書),自己的app可以通過(guò)配置解決,相當(dāng)于信任證書的一種操作!

1. 電腦上需要安裝證書。這個(gè)主要是讓Charles充當(dāng)中間人,頒布自己的CA證書。

2. 手機(jī)上需要安裝證書。這個(gè)是訪問(wèn)Charles獲取手機(jī)證書,然后安裝即可。

3. Android項(xiàng)目代碼設(shè)置兼容。Google 推出更加嚴(yán)格的安全機(jī)制,應(yīng)用默認(rèn)不信任用戶證書(手機(jī)里自己安裝證書),自己的app可以通過(guò)配置解決,相當(dāng)于信任證書的一種操作!

尤其可知抓包的突破口集中以下幾點(diǎn):

第一點(diǎn):必須鏈接代理,且跟Charles要具有相同ip。 思路:客戶端是否可以判斷網(wǎng)絡(luò)是否被代理了。

第二點(diǎn):CA證書,這一塊避免使用黑科技hook證書校驗(yàn)代碼,或者擁有修改CA證書權(quán)限。 思路:集中在可以判斷是否掛載。

第三點(diǎn):冒充中間人CA證書,在客戶端client和服務(wù)端server之間篡改攔截?cái)?shù)據(jù)。 思路:可以做CA證書校驗(yàn)。

第四點(diǎn):為了可以在7.0上抓包,App往往配置清單文件 networkSecurityConfig。 思路:線上環(huán)境去掉該配置。

第一點(diǎn):必須鏈接代理,且跟Charles要具有相同ip。 思路:客戶端是否可以判斷網(wǎng)絡(luò)是否被代理了。

第二點(diǎn):CA證書,這一塊避免使用黑科技hook證書校驗(yàn)代碼,或者擁有修改CA證書權(quán)限。 思路:集中在可以判斷是否掛載。

第三點(diǎn):冒充中間人CA證書,在客戶端client和服務(wù)端server之間篡改攔截?cái)?shù)據(jù)。 思路:可以做CA證書校驗(yàn)。

第四點(diǎn):為了可以在7.0上抓包,App往往配置清單文件 networkSecurityConfig。 思路:線上環(huán)境去掉該配置。

一個(gè)是CA證書配置文件

debug包為了能夠抓包,需要配置 networkSecurityConfig清單文件的system和user權(quán)限,只有這樣才會(huì)信任用戶證書。

一個(gè)是檢驗(yàn)證書配置

不論是權(quán)威機(jī)構(gòu)頒發(fā)的證書還是自簽名的,打包一份到 app 內(nèi)部,比如存放在 asset 里。然后用這個(gè)KeyStore去引導(dǎo)生成的 TrustManager來(lái)提供證書驗(yàn)證。

一個(gè)是檢驗(yàn)域名合法性

Android允許開發(fā)者重定義證書驗(yàn)證方法,使用 HostnameVerifier類檢查證書中的主機(jī)名與使用該證書的服務(wù)器的主機(jī)名是否一致。

如果重寫的 HostnameVerifier不對(duì)服務(wù)器的主機(jī)名進(jìn)行驗(yàn)證,即驗(yàn)證失敗時(shí)也繼續(xù)與服務(wù)器建立通信鏈接,存在發(fā)生“中間人攻擊”的風(fēng)險(xiǎn)。

如何查看CA證書的數(shù)據(jù)

證書驗(yàn)證網(wǎng)站 ;SSL配置檢查網(wǎng)站

一個(gè)是CA證書配置文件

debug包為了能夠抓包,需要配置 networkSecurityConfig清單文件的system和user權(quán)限,只有這樣才會(huì)信任用戶證書。

debug包為了能夠抓包,需要配置 networkSecurityConfig清單文件的system和user權(quán)限,只有這樣才會(huì)信任用戶證書。

一個(gè)是檢驗(yàn)證書配置

不論是權(quán)威機(jī)構(gòu)頒發(fā)的證書還是自簽名的,打包一份到 app 內(nèi)部,比如存放在 asset 里。然后用這個(gè)KeyStore去引導(dǎo)生成的 TrustManager來(lái)提供證書驗(yàn)證。

不論是權(quán)威機(jī)構(gòu)頒發(fā)的證書還是自簽名的,打包一份到 app 內(nèi)部,比如存放在 asset 里。然后用這個(gè)KeyStore去引導(dǎo)生成的 TrustManager來(lái)提供證書驗(yàn)證。

一個(gè)是檢驗(yàn)域名合法性

Android允許開發(fā)者重定義證書驗(yàn)證方法,使用 HostnameVerifier類檢查證書中的主機(jī)名與使用該證書的服務(wù)器的主機(jī)名是否一致。

如果重寫的 HostnameVerifier不對(duì)服務(wù)器的主機(jī)名進(jìn)行驗(yàn)證,即驗(yàn)證失敗時(shí)也繼續(xù)與服務(wù)器建立通信鏈接,存在發(fā)生“中間人攻擊”的風(fēng)險(xiǎn)。

Android允許開發(fā)者重定義證書驗(yàn)證方法,使用 HostnameVerifier類檢查證書中的主機(jī)名與使用該證書的服務(wù)器的主機(jī)名是否一致。

如果重寫的 HostnameVerifier不對(duì)服務(wù)器的主機(jī)名進(jìn)行驗(yàn)證,即驗(yàn)證失敗時(shí)也繼續(xù)與服務(wù)器建立通信鏈接,存在發(fā)生“中間人攻擊”的風(fēng)險(xiǎn)。

如何查看CA證書的數(shù)據(jù)

證書驗(yàn)證網(wǎng)站 ;SSL配置檢查網(wǎng)站

證書驗(yàn)證網(wǎng)站 ;SSL配置檢查網(wǎng)站

網(wǎng)絡(luò)數(shù)據(jù)加密的需求

為了項(xiàng)目數(shù)據(jù)安全性,對(duì)請(qǐng)求體和響應(yīng)體加密,那肯定要知道請(qǐng)求體或響應(yīng)體在哪里,然后才能加密,其實(shí)都一樣不論是加密url里面的query內(nèi)容還是加密body體里面的都一樣。

對(duì)數(shù)據(jù)哪里進(jìn)行加密和解密

目前對(duì)數(shù)據(jù)返回的data進(jìn)行加解密。那么如何做數(shù)據(jù)加密呢?目前項(xiàng)目中采用RC4加密和解密數(shù)據(jù)。

抓取到的內(nèi)容為亂碼

有的APP為了防止抓取,在返回的內(nèi)容上做了層加密,所以從Charles上看到的內(nèi)容是亂碼。這種情況下也只能反編譯APP,研究其加密解密算法進(jìn)行解密。難度極大!

網(wǎng)絡(luò)數(shù)據(jù)加密的需求

為了項(xiàng)目數(shù)據(jù)安全性,對(duì)請(qǐng)求體和響應(yīng)體加密,那肯定要知道請(qǐng)求體或響應(yīng)體在哪里,然后才能加密,其實(shí)都一樣不論是加密url里面的query內(nèi)容還是加密body體里面的都一樣。

為了項(xiàng)目數(shù)據(jù)安全性,對(duì)請(qǐng)求體和響應(yīng)體加密,那肯定要知道請(qǐng)求體或響應(yīng)體在哪里,然后才能加密,其實(shí)都一樣不論是加密url里面的query內(nèi)容還是加密body體里面的都一樣。

對(duì)數(shù)據(jù)哪里進(jìn)行加密和解密

目前對(duì)數(shù)據(jù)返回的data進(jìn)行加解密。那么如何做數(shù)據(jù)加密呢?目前項(xiàng)目中采用RC4加密和解密數(shù)據(jù)。

目前對(duì)數(shù)據(jù)返回的data進(jìn)行加解密。那么如何做數(shù)據(jù)加密呢?目前項(xiàng)目中采用RC4加密和解密數(shù)據(jù)。

抓取到的內(nèi)容為亂碼

有的APP為了防止抓取,在返回的內(nèi)容上做了層加密,所以從Charles上看到的內(nèi)容是亂碼。這種情況下也只能反編譯APP,研究其加密解密算法進(jìn)行解密。難度極大!

有的APP為了防止抓取,在返回的內(nèi)容上做了層加密,所以從Charles上看到的內(nèi)容是亂碼。這種情況下也只能反編譯APP,研究其加密解密算法進(jìn)行解密。難度極大!

基于Xposed(或者)黑科技破解證書校驗(yàn)

這種方式可以檢查是否有Xposed環(huán)境,大概的思路是使用ClassLoader去加載固定包名的xp類,或者手動(dòng)拋出異常然后捕獲去判斷是否包含Xposed環(huán)境。

基于VirtualApp掛載App突破證書訪問(wèn)權(quán)限

這個(gè)VirtualApp相當(dāng)于是一個(gè)宿主App(可以把它想像成桌面級(jí)App),它突破證書校驗(yàn)。然后再實(shí)現(xiàn)掛載App的抓包。判斷是否是雙開環(huán)境!

基于Xposed(或者)黑科技破解證書校驗(yàn)

這種方式可以檢查是否有Xposed環(huán)境,大概的思路是使用ClassLoader去加載固定包名的xp類,或者手動(dòng)拋出異常然后捕獲去判斷是否包含Xposed環(huán)境。

這種方式可以檢查是否有Xposed環(huán)境,大概的思路是使用ClassLoader去加載固定包名的xp類,或者手動(dòng)拋出異常然后捕獲去判斷是否包含Xposed環(huán)境。

基于VirtualApp掛載App突破證書訪問(wèn)權(quán)限

這個(gè)VirtualApp相當(dāng)于是一個(gè)宿主App(可以把它想像成桌面級(jí)App),它突破證書校驗(yàn)。然后再實(shí)現(xiàn)掛載App的抓包。判斷是否是雙開環(huán)境!

4.防抓包實(shí)踐開發(fā)

4.1 App安全配置

添加配置文件:

android:networkSecurityConfig="@xml/network_security_config"

配置 networkSecurityConfig抓包說(shuō)明:

中間人代理之所有能夠獲取到加密密鑰就是因?yàn)槲覀兪謾C(jī)上安裝并信任了其代理證書,這類證書安裝后都會(huì)被歸結(jié)到用戶證書一類,而不是系統(tǒng)證書。

那我們可以選擇只信任系統(tǒng)內(nèi)置的系統(tǒng)證書,而屏蔽掉用戶證書(Android7.0以后就默認(rèn)是只信任系統(tǒng)證書了),就可以防止數(shù)據(jù)被解密了。

實(shí)現(xiàn)App防抓包安全配置方式有兩種:

一種是Android官方提供的網(wǎng)絡(luò)安全配置;另一種也可以通過(guò)設(shè)置網(wǎng)絡(luò)框架實(shí)現(xiàn)(以okhttp為例)。

第一種:具體可以看清單配置文件,相當(dāng)于 base-config標(biāo)簽下去掉 這組標(biāo)簽。

第二種:需要給 okhttpClient配置 X509TrustManager 來(lái)監(jiān)聽校驗(yàn)服務(wù)端證書有效性。遍歷設(shè)備上信任的證書,通過(guò)證書別名將用戶證書(別名中含有user字段)過(guò)濾掉,只將系統(tǒng)證書添加到驗(yàn)證列表中。

該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:

優(yōu)點(diǎn): network_security_config配置簡(jiǎn)單,對(duì)整個(gè)app網(wǎng)絡(luò)生效,無(wú)需修改代碼;代碼實(shí)現(xiàn)對(duì)通過(guò)該網(wǎng)絡(luò)框架請(qǐng)求的生效,能兼容7.0以前系統(tǒng)。

缺陷: network_security_config配置方式,7.0以前的系統(tǒng)配置不生效,依然可以通過(guò)代理工具進(jìn)行抓包。okhttp配置的方式只能對(duì)使用該網(wǎng)絡(luò)框架進(jìn)行數(shù)據(jù)傳輸?shù)慕涌谏В⒉荒軐?duì)整個(gè)app生效。

破解:將手機(jī)進(jìn)行root,然后將代理證書放置到系統(tǒng)證書列表內(nèi),就可以繞過(guò)代碼或配置檢查了。

添加配置文件:

android:networkSecurityConfig="@xml/network_security_config"

android:networkSecurityConfig="@xml/network_security_config"

配置 networkSecurityConfig抓包說(shuō)明:

中間人代理之所有能夠獲取到加密密鑰就是因?yàn)槲覀兪謾C(jī)上安裝并信任了其代理證書,這類證書安裝后都會(huì)被歸結(jié)到用戶證書一類,而不是系統(tǒng)證書。

那我們可以選擇只信任系統(tǒng)內(nèi)置的系統(tǒng)證書,而屏蔽掉用戶證書(Android7.0以后就默認(rèn)是只信任系統(tǒng)證書了),就可以防止數(shù)據(jù)被解密了。

中間人代理之所有能夠獲取到加密密鑰就是因?yàn)槲覀兪謾C(jī)上安裝并信任了其代理證書,這類證書安裝后都會(huì)被歸結(jié)到用戶證書一類,而不是系統(tǒng)證書。

那我們可以選擇只信任系統(tǒng)內(nèi)置的系統(tǒng)證書,而屏蔽掉用戶證書(Android7.0以后就默認(rèn)是只信任系統(tǒng)證書了),就可以防止數(shù)據(jù)被解密了。

實(shí)現(xiàn)App防抓包安全配置方式有兩種:

一種是Android官方提供的網(wǎng)絡(luò)安全配置;另一種也可以通過(guò)設(shè)置網(wǎng)絡(luò)框架實(shí)現(xiàn)(以okhttp為例)。

第一種:具體可以看清單配置文件,相當(dāng)于 base-config標(biāo)簽下去掉 這組標(biāo)簽。

第二種:需要給 okhttpClient配置 X509TrustManager 來(lái)監(jiān)聽校驗(yàn)服務(wù)端證書有效性。遍歷設(shè)備上信任的證書,通過(guò)證書別名將用戶證書(別名中含有user字段)過(guò)濾掉,只將系統(tǒng)證書添加到驗(yàn)證列表中。

一種是Android官方提供的網(wǎng)絡(luò)安全配置;另一種也可以通過(guò)設(shè)置網(wǎng)絡(luò)框架實(shí)現(xiàn)(以okhttp為例)。

第一種:具體可以看清單配置文件,相當(dāng)于 base-config標(biāo)簽下去掉 這組標(biāo)簽。

第二種:需要給 okhttpClient配置 X509TrustManager 來(lái)監(jiān)聽校驗(yàn)服務(wù)端證書有效性。遍歷設(shè)備上信任的證書,通過(guò)證書別名將用戶證書(別名中含有user字段)過(guò)濾掉,只將系統(tǒng)證書添加到驗(yàn)證列表中。

該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:

優(yōu)點(diǎn): network_security_config配置簡(jiǎn)單,對(duì)整個(gè)app網(wǎng)絡(luò)生效,無(wú)需修改代碼;代碼實(shí)現(xiàn)對(duì)通過(guò)該網(wǎng)絡(luò)框架請(qǐng)求的生效,能兼容7.0以前系統(tǒng)。

缺陷: network_security_config配置方式,7.0以前的系統(tǒng)配置不生效,依然可以通過(guò)代理工具進(jìn)行抓包。okhttp配置的方式只能對(duì)使用該網(wǎng)絡(luò)框架進(jìn)行數(shù)據(jù)傳輸?shù)慕涌谏В⒉荒軐?duì)整個(gè)app生效。

破解:將手機(jī)進(jìn)行root,然后將代理證書放置到系統(tǒng)證書列表內(nèi),就可以繞過(guò)代碼或配置檢查了。

優(yōu)點(diǎn): network_security_config配置簡(jiǎn)單,對(duì)整個(gè)app網(wǎng)絡(luò)生效,無(wú)需修改代碼;代碼實(shí)現(xiàn)對(duì)通過(guò)該網(wǎng)絡(luò)框架請(qǐng)求的生效,能兼容7.0以前系統(tǒng)。

缺陷: network_security_config配置方式,7.0以前的系統(tǒng)配置不生效,依然可以通過(guò)代理工具進(jìn)行抓包。okhttp配置的方式只能對(duì)使用該網(wǎng)絡(luò)框架進(jìn)行數(shù)據(jù)傳輸?shù)慕涌谏В⒉荒軐?duì)整個(gè)app生效。

破解:將手機(jī)進(jìn)行root,然后將代理證書放置到系統(tǒng)證書列表內(nèi),就可以繞過(guò)代碼或配置檢查了。

charles 和 fiddler 都使用代理來(lái)進(jìn)行抓包,對(duì)網(wǎng)絡(luò)客戶端使用無(wú)代理模式即可防止抓包,如:

OkHttpClient.Builder

.proxy( Proxy.NO_PROXY)

.build

no_proxy實(shí)際上就是type屬性為direct的一個(gè)proxy對(duì)象,這個(gè)type有三種:

direct,http,socks。這樣因?yàn)槭侵边B,所以不走代理。所以charles等工具就抓不到包了,這樣一定程度上保證了數(shù)據(jù)的安全,這種方式只是通過(guò)代理抓不到包。

通常情況下上述的辦法有用,但是無(wú)法防住使用 VPN 導(dǎo)流進(jìn)行的抓包:

使用VPN抓包的原理是,先將手機(jī)請(qǐng)求導(dǎo)到VPN,再對(duì)VPN的網(wǎng)絡(luò)進(jìn)行Charles的代理,繞過(guò)了對(duì)App的代理。

該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:

優(yōu)點(diǎn):實(shí)現(xiàn)簡(jiǎn)單方便,無(wú)系統(tǒng)版本兼容問(wèn)題。

缺陷:該方案比較粗暴,將一切代理都切斷了,對(duì)于有合理訴求需要使用網(wǎng)絡(luò)代理的場(chǎng)景無(wú)法滿足。

破解:使用ProxyDroid全局代理工具通過(guò)iptables對(duì)請(qǐng)求進(jìn)行強(qiáng)制轉(zhuǎn)發(fā),可以有效繞過(guò)代理檢測(cè)。

no_proxy實(shí)際上就是type屬性為direct的一個(gè)proxy對(duì)象,這個(gè)type有三種:

direct,http,socks。這樣因?yàn)槭侵边B,所以不走代理。所以charles等工具就抓不到包了,這樣一定程度上保證了數(shù)據(jù)的安全,這種方式只是通過(guò)代理抓不到包。

direct,http,socks。這樣因?yàn)槭侵边B,所以不走代理。所以charles等工具就抓不到包了,這樣一定程度上保證了數(shù)據(jù)的安全,這種方式只是通過(guò)代理抓不到包。

通常情況下上述的辦法有用,但是無(wú)法防住使用 VPN 導(dǎo)流進(jìn)行的抓包:

使用VPN抓包的原理是,先將手機(jī)請(qǐng)求導(dǎo)到VPN,再對(duì)VPN的網(wǎng)絡(luò)進(jìn)行Charles的代理,繞過(guò)了對(duì)App的代理。

使用VPN抓包的原理是,先將手機(jī)請(qǐng)求導(dǎo)到VPN,再對(duì)VPN的網(wǎng)絡(luò)進(jìn)行Charles的代理,繞過(guò)了對(duì)App的代理。

該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:

優(yōu)點(diǎn):實(shí)現(xiàn)簡(jiǎn)單方便,無(wú)系統(tǒng)版本兼容問(wèn)題。

缺陷:該方案比較粗暴,將一切代理都切斷了,對(duì)于有合理訴求需要使用網(wǎng)絡(luò)代理的場(chǎng)景無(wú)法滿足。

破解:使用ProxyDroid全局代理工具通過(guò)iptables對(duì)請(qǐng)求進(jìn)行強(qiáng)制轉(zhuǎn)發(fā),可以有效繞過(guò)代理檢測(cè)。

優(yōu)點(diǎn):實(shí)現(xiàn)簡(jiǎn)單方便,無(wú)系統(tǒng)版本兼容問(wèn)題。

缺陷:該方案比較粗暴,將一切代理都切斷了,對(duì)于有合理訴求需要使用網(wǎng)絡(luò)代理的場(chǎng)景無(wú)法滿足。

破解:使用ProxyDroid全局代理工具通過(guò)iptables對(duì)請(qǐng)求進(jìn)行強(qiáng)制轉(zhuǎn)發(fā),可以有效繞過(guò)代理檢測(cè)。

下載服務(wù)器端公鑰證書:

為了防止上面方案可能導(dǎo)致的“中間人攻擊”,可以下載服務(wù)器端公鑰證書,然后將公鑰證書編譯到Android應(yīng)用中一般在assets文件夾保存,由應(yīng)用在交互過(guò)程中去驗(yàn)證證書的合法性。

如何設(shè)置證書校驗(yàn):

通過(guò)OkHttp的API方法 sslSocketFactory(sslSocketFactory,trustManager) 設(shè)置SSL證書校驗(yàn)。

如何設(shè)置域名合法性校驗(yàn):

通過(guò)OkHttp的API方法 hostnameVerifier(hostnameVerifier)設(shè)置域名合法性校驗(yàn)。

證書校驗(yàn)的原理分析

按CA證書去驗(yàn)證的,若不是CA可信任的證書,則無(wú)法通過(guò)驗(yàn)證。

單向認(rèn)證流程圖:

該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:

優(yōu)點(diǎn):安全性比較高,單向認(rèn)證校驗(yàn)證書在代碼中是方便的,安全性相對(duì)較高。

缺陷:CA證書存在過(guò)期的問(wèn)題,證書升級(jí)。

破解:證書鎖定破解比較復(fù)雜,比如老牌的JustTrustMe插件,通過(guò)hook各網(wǎng)絡(luò)框架的證書校驗(yàn)方法,替換原有邏輯,使校驗(yàn)失效。

下載服務(wù)器端公鑰證書:

為了防止上面方案可能導(dǎo)致的“中間人攻擊”,可以下載服務(wù)器端公鑰證書,然后將公鑰證書編譯到Android應(yīng)用中一般在assets文件夾保存,由應(yīng)用在交互過(guò)程中去驗(yàn)證證書的合法性。

為了防止上面方案可能導(dǎo)致的“中間人攻擊”,可以下載服務(wù)器端公鑰證書,然后將公鑰證書編譯到Android應(yīng)用中一般在assets文件夾保存,由應(yīng)用在交互過(guò)程中去驗(yàn)證證書的合法性。

如何設(shè)置證書校驗(yàn):

通過(guò)OkHttp的API方法 sslSocketFactory(sslSocketFactory,trustManager) 設(shè)置SSL證書校驗(yàn)。

通過(guò)OkHttp的API方法 sslSocketFactory(sslSocketFactory,trustManager) 設(shè)置SSL證書校驗(yàn)。

如何設(shè)置域名合法性校驗(yàn):

通過(guò)OkHttp的API方法 hostnameVerifier(hostnameVerifier)設(shè)置域名合法性校驗(yàn)。

通過(guò)OkHttp的API方法 hostnameVerifier(hostnameVerifier)設(shè)置域名合法性校驗(yàn)。

證書校驗(yàn)的原理分析

按CA證書去驗(yàn)證的,若不是CA可信任的證書,則無(wú)法通過(guò)驗(yàn)證。

按CA證書去驗(yàn)證的,若不是CA可信任的證書,則無(wú)法通過(guò)驗(yàn)證。

單向認(rèn)證流程圖:

該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:

優(yōu)點(diǎn):安全性比較高,單向認(rèn)證校驗(yàn)證書在代碼中是方便的,安全性相對(duì)較高。

缺陷:CA證書存在過(guò)期的問(wèn)題,證書升級(jí)。

破解:證書鎖定破解比較復(fù)雜,比如老牌的JustTrustMe插件,通過(guò)hook各網(wǎng)絡(luò)框架的證書校驗(yàn)方法,替換原有邏輯,使校驗(yàn)失效。

優(yōu)點(diǎn):安全性比較高,單向認(rèn)證校驗(yàn)證書在代碼中是方便的,安全性相對(duì)較高。

缺陷:CA證書存在過(guò)期的問(wèn)題,證書升級(jí)。

破解:證書鎖定破解比較復(fù)雜,比如老牌的JustTrustMe插件,通過(guò)hook各網(wǎng)絡(luò)框架的證書校驗(yàn)方法,替換原有邏輯,使校驗(yàn)失效。

什么叫做雙向認(rèn)證:

SSL/TLS 協(xié)議提供了雙向認(rèn)證的功能,即除了 Client 需要校驗(yàn) Server 的真實(shí)性,Server 也需要校驗(yàn) Client 的真實(shí)性。

雙向認(rèn)證的原理:

雙向認(rèn)證需要 Server 支持,Client 必須內(nèi)置一套公鑰證書 + 私鑰。在 SSL/TLS 握手過(guò)程中,Server 端會(huì)向 Client 端請(qǐng)求證書,Client 端必須將內(nèi)置的公鑰證書發(fā)給 Server,Server 驗(yàn)證公鑰證書的真實(shí)性。

用于雙向認(rèn)證的公鑰證書和私鑰代表了 Client 端身份,所以其是隱秘的,一般都是用 .p12 或者 .bks 文件 + 密鑰進(jìn)行存放。

代碼層面如何做雙向認(rèn)證:

雙向校驗(yàn)就是自定義生成客戶端證書,保存在服務(wù)端和客戶端,當(dāng)客戶端發(fā)起請(qǐng)求時(shí)在服務(wù)端也校驗(yàn)客戶端的證書合法性,如果不是可信任的客戶端發(fā)送的請(qǐng)求,則拒絕響應(yīng)。

服務(wù)端根據(jù)自身使用語(yǔ)言和網(wǎng)絡(luò)框架配置相應(yīng)證書校驗(yàn)機(jī)制即可。

雙向認(rèn)證流程圖:

該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:

優(yōu)點(diǎn):安全性非常高,使用三方工具不易破解。

缺陷:服務(wù)端需要存儲(chǔ)客戶端證書,一般服務(wù)端會(huì)對(duì)應(yīng)多個(gè)客戶端,就需要分別存儲(chǔ)和校驗(yàn)客戶端證書,增加校驗(yàn)成本,降低響應(yīng)速度。該方案比較適合對(duì)安全等級(jí)要求比較高的業(yè)務(wù)(如金融類業(yè)務(wù))。

破解:由于在服務(wù)端也做校驗(yàn),在服務(wù)端安全的情況下很難被攻破。

什么叫做雙向認(rèn)證:

SSL/TLS 協(xié)議提供了雙向認(rèn)證的功能,即除了 Client 需要校驗(yàn) Server 的真實(shí)性,Server 也需要校驗(yàn) Client 的真實(shí)性。

SSL/TLS 協(xié)議提供了雙向認(rèn)證的功能,即除了 Client 需要校驗(yàn) Server 的真實(shí)性,Server 也需要校驗(yàn) Client 的真實(shí)性。

雙向認(rèn)證的原理:

雙向認(rèn)證需要 Server 支持,Client 必須內(nèi)置一套公鑰證書 + 私鑰。在 SSL/TLS 握手過(guò)程中,Server 端會(huì)向 Client 端請(qǐng)求證書,Client 端必須將內(nèi)置的公鑰證書發(fā)給 Server,Server 驗(yàn)證公鑰證書的真實(shí)性。

用于雙向認(rèn)證的公鑰證書和私鑰代表了 Client 端身份,所以其是隱秘的,一般都是用 .p12 或者 .bks 文件 + 密鑰進(jìn)行存放。

雙向認(rèn)證需要 Server 支持,Client 必須內(nèi)置一套公鑰證書 + 私鑰。在 SSL/TLS 握手過(guò)程中,Server 端會(huì)向 Client 端請(qǐng)求證書,Client 端必須將內(nèi)置的公鑰證書發(fā)給 Server,Server 驗(yàn)證公鑰證書的真實(shí)性。

用于雙向認(rèn)證的公鑰證書和私鑰代表了 Client 端身份,所以其是隱秘的,一般都是用 .p12 或者 .bks 文件 + 密鑰進(jìn)行存放。

代碼層面如何做雙向認(rèn)證:

雙向校驗(yàn)就是自定義生成客戶端證書,保存在服務(wù)端和客戶端,當(dāng)客戶端發(fā)起請(qǐng)求時(shí)在服務(wù)端也校驗(yàn)客戶端的證書合法性,如果不是可信任的客戶端發(fā)送的請(qǐng)求,則拒絕響應(yīng)。

服務(wù)端根據(jù)自身使用語(yǔ)言和網(wǎng)絡(luò)框架配置相應(yīng)證書校驗(yàn)機(jī)制即可。

雙向校驗(yàn)就是自定義生成客戶端證書,保存在服務(wù)端和客戶端,當(dāng)客戶端發(fā)起請(qǐng)求時(shí)在服務(wù)端也校驗(yàn)客戶端的證書合法性,如果不是可信任的客戶端發(fā)送的請(qǐng)求,則拒絕響應(yīng)。

服務(wù)端根據(jù)自身使用語(yǔ)言和網(wǎng)絡(luò)框架配置相應(yīng)證書校驗(yàn)機(jī)制即可。

雙向認(rèn)證流程圖:

該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:

優(yōu)點(diǎn):安全性非常高,使用三方工具不易破解。

缺陷:服務(wù)端需要存儲(chǔ)客戶端證書,一般服務(wù)端會(huì)對(duì)應(yīng)多個(gè)客戶端,就需要分別存儲(chǔ)和校驗(yàn)客戶端證書,增加校驗(yàn)成本,降低響應(yīng)速度。該方案比較適合對(duì)安全等級(jí)要求比較高的業(yè)務(wù)(如金融類業(yè)務(wù))。

破解:由于在服務(wù)端也做校驗(yàn),在服務(wù)端安全的情況下很難被攻破。

優(yōu)點(diǎn):安全性非常高,使用三方工具不易破解。

缺陷:服務(wù)端需要存儲(chǔ)客戶端證書,一般服務(wù)端會(huì)對(duì)應(yīng)多個(gè)客戶端,就需要分別存儲(chǔ)和校驗(yàn)客戶端證書,增加校驗(yàn)成本,降低響應(yīng)速度。該方案比較適合對(duì)安全等級(jí)要求比較高的業(yè)務(wù)(如金融類業(yè)務(wù))。

破解:由于在服務(wù)端也做校驗(yàn),在服務(wù)端安全的情況下很難被攻破。

Xposed是一個(gè)牛逼的黑科技:

Xposed + JustTrustMe 可以破解繞過(guò)校驗(yàn)CA證書。那么這樣CA證書的校驗(yàn)就形同虛設(shè)了,對(duì)App的危險(xiǎn)性也很大。

App多開運(yùn)行在多個(gè)環(huán)境上:

多開App的原理類似,都是以新進(jìn)程運(yùn)行被多開的App,并hook各類系統(tǒng)函數(shù),使被多開的App認(rèn)為自己是一個(gè)正常的App在運(yùn)行。

一種是從多開App中直接加載被多開的App,如平行空間、VirtualApp等,另一種是讓用戶新安裝一個(gè)App,但這個(gè)App本質(zhì)上就是一個(gè)殼,用來(lái)加載被多開的App。

VirtualApp是一個(gè)牛逼的黑科技:

它破壞了Android 系統(tǒng)本身的隔離措施,可以進(jìn)行免root hook和其他黑科技操作,你可以用這個(gè)做很多在原來(lái)APP里做不到事情,于此同時(shí)Virtual App的安全威脅也不言而喻。

如何判斷是否具有Xposed環(huán)境:

第一種方式:獲取當(dāng)前設(shè)備所有運(yùn)行的APP,根據(jù)安裝包名對(duì)應(yīng)用進(jìn)行檢測(cè)判斷是否有Xposed環(huán)境。

第二種方式:通過(guò)自造異常來(lái)檢測(cè)堆棧信息,判斷異常堆棧中是否包含Xposed等字符串。

第三種方式:通過(guò) ClassLoader檢查是否已經(jīng)加載了 XposedBridge類和 XposedHelpers類來(lái)檢測(cè)。

第四種方式:獲取DEX加載列表,判斷其中是否包含 XposedBridge.jar等字符串。

第五種方式:檢測(cè)Xposed相關(guān)文件,通過(guò)讀取 /proc/self/maps文件,查找Xposed相關(guān)jar或者so文件來(lái)檢測(cè)。

如何判斷是否是雙開環(huán)境:

第一種方式:通過(guò)檢測(cè)app私有目錄,多開后的應(yīng)用路徑會(huì)包含多開軟件的包名。還有一種思路遍歷應(yīng)用列表如果出現(xiàn)同樣的包名,則被認(rèn)為雙開了。

第二種方式:如果同一uid下有兩個(gè)進(jìn)程對(duì)應(yīng)的包名,在"/data/data"下有兩個(gè)私有目錄,則該應(yīng)用被多開了。

判斷了具有xposed或者多開環(huán)境怎么處理App:

目前使用VirtualApp掛載,或者Xposed黑科技去hook,前期可以先用埋點(diǎn)統(tǒng)計(jì)。測(cè)試學(xué)而思App發(fā)現(xiàn)掛載在VA上是推出App。

Xposed是一個(gè)牛逼的黑科技:

Xposed + JustTrustMe 可以破解繞過(guò)校驗(yàn)CA證書。那么這樣CA證書的校驗(yàn)就形同虛設(shè)了,對(duì)App的危險(xiǎn)性也很大。

Xposed + JustTrustMe 可以破解繞過(guò)校驗(yàn)CA證書。那么這樣CA證書的校驗(yàn)就形同虛設(shè)了,對(duì)App的危險(xiǎn)性也很大。

App多開運(yùn)行在多個(gè)環(huán)境上:

多開App的原理類似,都是以新進(jìn)程運(yùn)行被多開的App,并hook各類系統(tǒng)函數(shù),使被多開的App認(rèn)為自己是一個(gè)正常的App在運(yùn)行。

一種是從多開App中直接加載被多開的App,如平行空間、VirtualApp等,另一種是讓用戶新安裝一個(gè)App,但這個(gè)App本質(zhì)上就是一個(gè)殼,用來(lái)加載被多開的App。

多開App的原理類似,都是以新進(jìn)程運(yùn)行被多開的App,并hook各類系統(tǒng)函數(shù),使被多開的App認(rèn)為自己是一個(gè)正常的App在運(yùn)行。

一種是從多開App中直接加載被多開的App,如平行空間、VirtualApp等,另一種是讓用戶新安裝一個(gè)App,但這個(gè)App本質(zhì)上就是一個(gè)殼,用來(lái)加載被多開的App。

VirtualApp是一個(gè)牛逼的黑科技:

它破壞了Android 系統(tǒng)本身的隔離措施,可以進(jìn)行免root hook和其他黑科技操作,你可以用這個(gè)做很多在原來(lái)APP里做不到事情,于此同時(shí)Virtual App的安全威脅也不言而喻。

它破壞了Android 系統(tǒng)本身的隔離措施,可以進(jìn)行免root hook和其他黑科技操作,你可以用這個(gè)做很多在原來(lái)APP里做不到事情,于此同時(shí)Virtual App的安全威脅也不言而喻。

如何判斷是否具有Xposed環(huán)境:

第一種方式:獲取當(dāng)前設(shè)備所有運(yùn)行的APP,根據(jù)安裝包名對(duì)應(yīng)用進(jìn)行檢測(cè)判斷是否有Xposed環(huán)境。

第二種方式:通過(guò)自造異常來(lái)檢測(cè)堆棧信息,判斷異常堆棧中是否包含Xposed等字符串。

第三種方式:通過(guò) ClassLoader檢查是否已經(jīng)加載了 XposedBridge類和 XposedHelpers類來(lái)檢測(cè)。

第四種方式:獲取DEX加載列表,判斷其中是否包含 XposedBridge.jar等字符串。

第五種方式:檢測(cè)Xposed相關(guān)文件,通過(guò)讀取 /proc/self/maps文件,查找Xposed相關(guān)jar或者so文件來(lái)檢測(cè)。

第一種方式:獲取當(dāng)前設(shè)備所有運(yùn)行的APP,根據(jù)安裝包名對(duì)應(yīng)用進(jìn)行檢測(cè)判斷是否有Xposed環(huán)境。

第二種方式:通過(guò)自造異常來(lái)檢測(cè)堆棧信息,判斷異常堆棧中是否包含Xposed等字符串。

第三種方式:通過(guò) ClassLoader檢查是否已經(jīng)加載了 XposedBridge類和 XposedHelpers類來(lái)檢測(cè)。

第四種方式:獲取DEX加載列表,判斷其中是否包含 XposedBridge.jar等字符串。

第五種方式:檢測(cè)Xposed相關(guān)文件,通過(guò)讀取 /proc/self/maps文件,查找Xposed相關(guān)jar或者so文件來(lái)檢測(cè)。

如何判斷是否是雙開環(huán)境:

第一種方式:通過(guò)檢測(cè)app私有目錄,多開后的應(yīng)用路徑會(huì)包含多開軟件的包名。還有一種思路遍歷應(yīng)用列表如果出現(xiàn)同樣的包名,則被認(rèn)為雙開了。

第二種方式:如果同一uid下有兩個(gè)進(jìn)程對(duì)應(yīng)的包名,在"/data/data"下有兩個(gè)私有目錄,則該應(yīng)用被多開了。

第一種方式:通過(guò)檢測(cè)app私有目錄,多開后的應(yīng)用路徑會(huì)包含多開軟件的包名。還有一種思路遍歷應(yīng)用列表如果出現(xiàn)同樣的包名,則被認(rèn)為雙開了。

第二種方式:如果同一uid下有兩個(gè)進(jìn)程對(duì)應(yīng)的包名,在"/data/data"下有兩個(gè)私有目錄,則該應(yīng)用被多開了。

判斷了具有xposed或者多開環(huán)境怎么處理App:

目前使用VirtualApp掛載,或者Xposed黑科技去hook,前期可以先用埋點(diǎn)統(tǒng)計(jì)。測(cè)試學(xué)而思App發(fā)現(xiàn)掛載在VA上是推出App。

目前使用VirtualApp掛載,或者Xposed黑科技去hook,前期可以先用埋點(diǎn)統(tǒng)計(jì)。測(cè)試學(xué)而思App發(fā)現(xiàn)掛載在VA上是推出App。

針對(duì)數(shù)據(jù)加解密入口:

目前在網(wǎng)絡(luò)請(qǐng)求類里添加攔截器,然后在攔截器中處理request請(qǐng)求和response響應(yīng)數(shù)據(jù)的加密和解密操作。

主要是加密什么數(shù)據(jù):

在request請(qǐng)求數(shù)據(jù)階段,如果是get請(qǐng)求加密url數(shù)據(jù),如果是post請(qǐng)求則加密url數(shù)據(jù)和requestBody數(shù)據(jù)。

在response響應(yīng)數(shù)據(jù)階段。

如何進(jìn)行加密:發(fā)起請(qǐng)求(加密)

第一步:獲取請(qǐng)求的數(shù)據(jù)。主要是獲取請(qǐng)求url和requestBody,這一塊需要對(duì)數(shù)據(jù)一塊處理。

第二步:對(duì)請(qǐng)求數(shù)據(jù)進(jìn)行加密。采用RC4加密數(shù)據(jù)。

第三步:根據(jù)不同的請(qǐng)求方式構(gòu)造新的request。使用 key 和 result 生成新的 RequestBody 發(fā)起網(wǎng)絡(luò)請(qǐng)求。

如何進(jìn)行解密:接收返回(解密)

第一步:常規(guī)解析得到 result ,然后使用RC4工具,傳入key去解密數(shù)據(jù)得到解密后的字符串。

第二步:將解密的字符串組裝成ResponseBody數(shù)據(jù)傳入到body對(duì)象中。

第三步:利用response對(duì)象去構(gòu)造新的response,然后最后返回給App。

針對(duì)數(shù)據(jù)加解密入口:

目前在網(wǎng)絡(luò)請(qǐng)求類里添加攔截器,然后在攔截器中處理request請(qǐng)求和response響應(yīng)數(shù)據(jù)的加密和解密操作。

目前在網(wǎng)絡(luò)請(qǐng)求類里添加攔截器,然后在攔截器中處理request請(qǐng)求和response響應(yīng)數(shù)據(jù)的加密和解密操作。

主要是加密什么數(shù)據(jù):

在request請(qǐng)求數(shù)據(jù)階段,如果是get請(qǐng)求加密url數(shù)據(jù),如果是post請(qǐng)求則加密url數(shù)據(jù)和requestBody數(shù)據(jù)。

在response響應(yīng)數(shù)據(jù)階段。

在request請(qǐng)求數(shù)據(jù)階段,如果是get請(qǐng)求加密url數(shù)據(jù),如果是post請(qǐng)求則加密url數(shù)據(jù)和requestBody數(shù)據(jù)。

在response響應(yīng)數(shù)據(jù)階段。

如何進(jìn)行加密:發(fā)起請(qǐng)求(加密)

第一步:獲取請(qǐng)求的數(shù)據(jù)。主要是獲取請(qǐng)求url和requestBody,這一塊需要對(duì)數(shù)據(jù)一塊處理。

第二步:對(duì)請(qǐng)求數(shù)據(jù)進(jìn)行加密。采用RC4加密數(shù)據(jù)。

第三步:根據(jù)不同的請(qǐng)求方式構(gòu)造新的request。使用 key 和 result 生成新的 RequestBody 發(fā)起網(wǎng)絡(luò)請(qǐng)求。

第一步:獲取請(qǐng)求的數(shù)據(jù)。主要是獲取請(qǐng)求url和requestBody,這一塊需要對(duì)數(shù)據(jù)一塊處理。

第二步:對(duì)請(qǐng)求數(shù)據(jù)進(jìn)行加密。采用RC4加密數(shù)據(jù)。

第三步:根據(jù)不同的請(qǐng)求方式構(gòu)造新的request。使用 key 和 result 生成新的 RequestBody 發(fā)起網(wǎng)絡(luò)請(qǐng)求。

如何進(jìn)行解密:接收返回(解密)

第一步:常規(guī)解析得到 result ,然后使用RC4工具,傳入key去解密數(shù)據(jù)得到解密后的字符串。

第二步:將解密的字符串組裝成ResponseBody數(shù)據(jù)傳入到body對(duì)象中。

第三步:利用response對(duì)象去構(gòu)造新的response,然后最后返回給App。

第一步:常規(guī)解析得到 result ,然后使用RC4工具,傳入key去解密數(shù)據(jù)得到解密后的字符串。

第二步:將解密的字符串組裝成ResponseBody數(shù)據(jù)傳入到body對(duì)象中。

第三步:利用response對(duì)象去構(gòu)造新的response,然后最后返回給App。

證書鎖定是Google官方比較推薦的一種校驗(yàn)方式:

原理是在客戶端中預(yù)先設(shè)置好證書信息,握手時(shí)與服務(wù)端返回的證書進(jìn)行比較,以確保證書的真實(shí)性和有效性。

如何實(shí)現(xiàn)證書鎖定:

有兩種實(shí)現(xiàn)方式:一種通過(guò)network_security_config.xml配置,另一種通過(guò)代碼設(shè)置;

//第一種方式:配置文件

api.zuoyebang.cn

38JpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhK90=

9k1a0LRMXouZHRC8Ei+ 4PyuldPDcf3UKgO/ 04cDM90K=

//第二種方式:代碼設(shè)置

funsslPinning: OkHttpClient {

valbuilder = OkHttpClient.Builder

valpinners = CertificatePinner.Builder

.add( "api.zuoyebang.cn", "sha256//89KpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRh00L=")

.add( "api.zuoyebang.com", "sha256//a8za0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1o=09")

.build

builder.apply {

certificatePinner(pinners)

}

returnbuilder.build

}

該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:

優(yōu)點(diǎn):安全性高,配置方式也比較簡(jiǎn)單,并能實(shí)現(xiàn)動(dòng)態(tài)更新配置。

缺陷:網(wǎng)絡(luò)安全配置無(wú)法實(shí)現(xiàn)證書證書的動(dòng)態(tài)更新,另外該配置也受Android系統(tǒng)影響,對(duì)7.0以前的系統(tǒng)不支持。代碼配置相對(duì)靈活些。

破解:證書鎖定破解比較復(fù)雜,比如老牌的JustTrustMe插件,通過(guò)hook各網(wǎng)絡(luò)框架的證書校驗(yàn)方法,替換原有邏輯,使校驗(yàn)失效

證書鎖定是Google官方比較推薦的一種校驗(yàn)方式:

原理是在客戶端中預(yù)先設(shè)置好證書信息,握手時(shí)與服務(wù)端返回的證書進(jìn)行比較,以確保證書的真實(shí)性和有效性。

原理是在客戶端中預(yù)先設(shè)置好證書信息,握手時(shí)與服務(wù)端返回的證書進(jìn)行比較,以確保證書的真實(shí)性和有效性。

如何實(shí)現(xiàn)證書鎖定:

有兩種實(shí)現(xiàn)方式:一種通過(guò)network_security_config.xml配置,另一種通過(guò)代碼設(shè)置;

有兩種實(shí)現(xiàn)方式:一種通過(guò)network_security_config.xml配置,另一種通過(guò)代碼設(shè)置;

//第一種方式:配置文件

api.zuoyebang.cn

38JpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhK90=

9k1a0LRMXouZHRC8Ei+ 4PyuldPDcf3UKgO/ 04cDM90K=

//第二種方式:代碼設(shè)置

funsslPinning: OkHttpClient {

valbuilder = OkHttpClient.Builder

valpinners = CertificatePinner.Builder

.add( "api.zuoyebang.cn", "sha256//89KpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRh00L=")

.add( "api.zuoyebang.com", "sha256//a8za0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1o=09")

.build

builder.apply {

certificatePinner(pinners)

}

returnbuilder.build

}

該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:

優(yōu)點(diǎn):安全性高,配置方式也比較簡(jiǎn)單,并能實(shí)現(xiàn)動(dòng)態(tài)更新配置。

缺陷:網(wǎng)絡(luò)安全配置無(wú)法實(shí)現(xiàn)證書證書的動(dòng)態(tài)更新,另外該配置也受Android系統(tǒng)影響,對(duì)7.0以前的系統(tǒng)不支持。代碼配置相對(duì)靈活些。

破解:證書鎖定破解比較復(fù)雜,比如老牌的JustTrustMe插件,通過(guò)hook各網(wǎng)絡(luò)框架的證書校驗(yàn)方法,替換原有邏輯,使校驗(yàn)失效

優(yōu)點(diǎn):安全性高,配置方式也比較簡(jiǎn)單,并能實(shí)現(xiàn)動(dòng)態(tài)更新配置。

缺陷:網(wǎng)絡(luò)安全配置無(wú)法實(shí)現(xiàn)證書證書的動(dòng)態(tài)更新,另外該配置也受Android系統(tǒng)影響,對(duì)7.0以前的系統(tǒng)不支持。代碼配置相對(duì)靈活些。

破解:證書鎖定破解比較復(fù)雜,比如老牌的JustTrustMe插件,通過(guò)hook各網(wǎng)絡(luò)框架的證書校驗(yàn)方法,替換原有邏輯,使校驗(yàn)失效

先說(shuō)一下背景和問(wèn)題:

api.test.com/getbanner?k… http://api.test.com/getbanner?key1=value1key2=value2key3=value3

這種方式簡(jiǎn)單粗暴,通過(guò)調(diào)用 getbanner方法即可獲取輪播圖列表信息,但是這樣的方式會(huì)存在很嚴(yán)重的安全性問(wèn)題,沒(méi)有進(jìn)行任何的驗(yàn)證,大家都可以通過(guò)這個(gè)方法獲取到數(shù)據(jù),導(dǎo)致產(chǎn)品信息泄露。

在寫開放的API接口時(shí)是如何保證數(shù)據(jù)的安全性的?

請(qǐng)求來(lái)源(身份)是否合法?請(qǐng)求參數(shù)被篡改?請(qǐng)求的唯一性(不可復(fù)制)?

問(wèn)題的解決方案設(shè)想:

解決方案:為了保證數(shù)據(jù)在通信時(shí)的安全性,我們可以采用參數(shù)簽名的方式來(lái)進(jìn)行相關(guān)驗(yàn)證。

最終決定的解決方案:

調(diào)用接口之前需要驗(yàn)證簽名和有效時(shí)間,要生成一個(gè)sign簽名。先拼接-后轉(zhuǎn)碼-再加密-再發(fā)請(qǐng)求!

sign簽名校驗(yàn)實(shí)踐:

需要對(duì)請(qǐng)求參數(shù)進(jìn)行簽名驗(yàn)證,簽名方式如下:key1=value1key2=value2key3=value3secret=yc 。對(duì)這個(gè)字符串進(jìn)行md5一下。

然后被sign后的接口就變成了: api.test.com/getbanner?k… http://api.test.com/getbanner?key1=value1key2=value2key3=value3sign=xxx

為什么在獲取sign的時(shí)候建議使用secret參數(shù)?secret僅作加密使用,添加在參數(shù)中主要是md5,為了保證數(shù)據(jù)安全請(qǐng)不要在請(qǐng)求參數(shù)中使用。

服務(wù)端對(duì)sign校驗(yàn):

這樣請(qǐng)求的時(shí)候就需要合法正確簽名sign才可以獲取數(shù)據(jù)。這樣就解決了身份驗(yàn)證和防止參數(shù)篡改問(wèn)題,如果請(qǐng)求參數(shù)被人拿走,沒(méi)事,他們永遠(yuǎn)也拿不到secret,因?yàn)閟ecret是不傳遞的。再也無(wú)法偽造合法的請(qǐng)求。

如何保證請(qǐng)求的唯一性:

api.test.com/getbanner?k…

通過(guò)stamp時(shí)間戳用來(lái)驗(yàn)證請(qǐng)求是否過(guò)期。這樣就算被人拿走完整的請(qǐng)求鏈接也是無(wú)效的。

Sign簽名安全性分析:

通過(guò)上面的案例,安全的關(guān)鍵在于參與簽名的secret,整個(gè)過(guò)程中secret是不參與通信的,所以只要保證secret不泄露,請(qǐng)求就不會(huì)被偽造。

先說(shuō)一下背景和問(wèn)題:

api.test.com/getbanner?k… http://api.test.com/getbanner?key1=value1key2=value2key3=value3

這種方式簡(jiǎn)單粗暴,通過(guò)調(diào)用 getbanner方法即可獲取輪播圖列表信息,但是這樣的方式會(huì)存在很嚴(yán)重的安全性問(wèn)題,沒(méi)有進(jìn)行任何的驗(yàn)證,大家都可以通過(guò)這個(gè)方法獲取到數(shù)據(jù),導(dǎo)致產(chǎn)品信息泄露。

這種方式簡(jiǎn)單粗暴,通過(guò)調(diào)用 getbanner方法即可獲取輪播圖列表信息,但是這樣的方式會(huì)存在很嚴(yán)重的安全性問(wèn)題,沒(méi)有進(jìn)行任何的驗(yàn)證,大家都可以通過(guò)這個(gè)方法獲取到數(shù)據(jù),導(dǎo)致產(chǎn)品信息泄露。

在寫開放的API接口時(shí)是如何保證數(shù)據(jù)的安全性的?

請(qǐng)求來(lái)源(身份)是否合法?請(qǐng)求參數(shù)被篡改?請(qǐng)求的唯一性(不可復(fù)制)?

請(qǐng)求來(lái)源(身份)是否合法?請(qǐng)求參數(shù)被篡改?請(qǐng)求的唯一性(不可復(fù)制)?

問(wèn)題的解決方案設(shè)想:

解決方案:為了保證數(shù)據(jù)在通信時(shí)的安全性,我們可以采用參數(shù)簽名的方式來(lái)進(jìn)行相關(guān)驗(yàn)證。

解決方案:為了保證數(shù)據(jù)在通信時(shí)的安全性,我們可以采用參數(shù)簽名的方式來(lái)進(jìn)行相關(guān)驗(yàn)證。

最終決定的解決方案:

調(diào)用接口之前需要驗(yàn)證簽名和有效時(shí)間,要生成一個(gè)sign簽名。先拼接-后轉(zhuǎn)碼-再加密-再發(fā)請(qǐng)求!

調(diào)用接口之前需要驗(yàn)證簽名和有效時(shí)間,要生成一個(gè)sign簽名。先拼接-后轉(zhuǎn)碼-再加密-再發(fā)請(qǐng)求!

sign簽名校驗(yàn)實(shí)踐:

需要對(duì)請(qǐng)求參數(shù)進(jìn)行簽名驗(yàn)證,簽名方式如下:key1=value1key2=value2key3=value3secret=yc 。對(duì)這個(gè)字符串進(jìn)行md5一下。

然后被sign后的接口就變成了: api.test.com/getbanner?k… http://api.test.com/getbanner?key1=value1key2=value2key3=value3sign=xxx

為什么在獲取sign的時(shí)候建議使用secret參數(shù)?secret僅作加密使用,添加在參數(shù)中主要是md5,為了保證數(shù)據(jù)安全請(qǐng)不要在請(qǐng)求參數(shù)中使用。

需要對(duì)請(qǐng)求參數(shù)進(jìn)行簽名驗(yàn)證,簽名方式如下:key1=value1key2=value2key3=value3secret=yc 。對(duì)這個(gè)字符串進(jìn)行md5一下。

為什么在獲取sign的時(shí)候建議使用secret參數(shù)?secret僅作加密使用,添加在參數(shù)中主要是md5,為了保證數(shù)據(jù)安全請(qǐng)不要在請(qǐng)求參數(shù)中使用。

服務(wù)端對(duì)sign校驗(yàn):

這樣請(qǐng)求的時(shí)候就需要合法正確簽名sign才可以獲取數(shù)據(jù)。這樣就解決了身份驗(yàn)證和防止參數(shù)篡改問(wèn)題,如果請(qǐng)求參數(shù)被人拿走,沒(méi)事,他們永遠(yuǎn)也拿不到secret,因?yàn)閟ecret是不傳遞的。再也無(wú)法偽造合法的請(qǐng)求。

這樣請(qǐng)求的時(shí)候就需要合法正確簽名sign才可以獲取數(shù)據(jù)。這樣就解決了身份驗(yàn)證和防止參數(shù)篡改問(wèn)題,如果請(qǐng)求參數(shù)被人拿走,沒(méi)事,他們永遠(yuǎn)也拿不到secret,因?yàn)閟ecret是不傳遞的。再也無(wú)法偽造合法的請(qǐng)求。

如何保證請(qǐng)求的唯一性:

api.test.com/getbanner?k…

通過(guò)stamp時(shí)間戳用來(lái)驗(yàn)證請(qǐng)求是否過(guò)期。這樣就算被人拿走完整的請(qǐng)求鏈接也是無(wú)效的。

通過(guò)stamp時(shí)間戳用來(lái)驗(yàn)證請(qǐng)求是否過(guò)期。這樣就算被人拿走完整的請(qǐng)求鏈接也是無(wú)效的。

Sign簽名安全性分析:

通過(guò)上面的案例,安全的關(guān)鍵在于參與簽名的secret,整個(gè)過(guò)程中secret是不參與通信的,所以只要保證secret不泄露,請(qǐng)求就不會(huì)被偽造。

5.架構(gòu)設(shè)計(jì)說(shuō)明

5.1 整體架構(gòu)設(shè)計(jì)

如下所示:

對(duì)于請(qǐng)求和響應(yīng)的數(shù)據(jù)加解密要注意:

在網(wǎng)絡(luò)上交換數(shù)據(jù)(網(wǎng)絡(luò)請(qǐng)求數(shù)據(jù))時(shí),可能會(huì)遇到不可見(jiàn)字符,不同的設(shè)備對(duì)字符的處理方式有一些不同。

Base64對(duì)數(shù)據(jù)內(nèi)容進(jìn)行編碼來(lái)適合傳輸。準(zhǔn)確說(shuō)是把一些二進(jìn)制數(shù)轉(zhuǎn)成普通字符用于網(wǎng)絡(luò)傳輸。統(tǒng)統(tǒng)變成可見(jiàn)字符,這樣出錯(cuò)的可能性就大降低了。

對(duì)于請(qǐng)求和響應(yīng)的數(shù)據(jù)加解密要注意:

在網(wǎng)絡(luò)上交換數(shù)據(jù)(網(wǎng)絡(luò)請(qǐng)求數(shù)據(jù))時(shí),可能會(huì)遇到不可見(jiàn)字符,不同的設(shè)備對(duì)字符的處理方式有一些不同。

Base64對(duì)數(shù)據(jù)內(nèi)容進(jìn)行編碼來(lái)適合傳輸。準(zhǔn)確說(shuō)是把一些二進(jìn)制數(shù)轉(zhuǎn)成普通字符用于網(wǎng)絡(luò)傳輸。統(tǒng)統(tǒng)變成可見(jiàn)字符,這樣出錯(cuò)的可能性就大降低了。

在網(wǎng)絡(luò)上交換數(shù)據(jù)(網(wǎng)絡(luò)請(qǐng)求數(shù)據(jù))時(shí),可能會(huì)遇到不可見(jiàn)字符,不同的設(shè)備對(duì)字符的處理方式有一些不同。

Base64對(duì)數(shù)據(jù)內(nèi)容進(jìn)行編碼來(lái)適合傳輸。準(zhǔn)確說(shuō)是把一些二進(jìn)制數(shù)轉(zhuǎn)成普通字符用于網(wǎng)絡(luò)傳輸。統(tǒng)統(tǒng)變成可見(jiàn)字符,這樣出錯(cuò)的可能性就大降低了。

可以一鍵配置AB測(cè)試開關(guān):

.setMonitorToggle( object: IMonitorToggle {

overridefunisOpen: Boolean{

//todo 是否降級(jí),如果降級(jí),則不使用該功能。留給AB測(cè)試開關(guān)

returnfalse

}

})

5.4 異常設(shè)計(jì)說(shuō)明

base64加密和解密導(dǎo)致錯(cuò)誤問(wèn)題:

Android 有自帶的Base64實(shí)現(xiàn),flag要選 Base64.NO_WRAP,不然末尾會(huì)有換行影響服務(wù)端解碼。導(dǎo)致解碼失敗。

base64加密和解密導(dǎo)致錯(cuò)誤問(wèn)題:

Android 有自帶的Base64實(shí)現(xiàn),flag要選 Base64.NO_WRAP,不然末尾會(huì)有換行影響服務(wù)端解碼。導(dǎo)致解碼失敗。

Android 有自帶的Base64實(shí)現(xiàn),flag要選 Base64.NO_WRAP,不然末尾會(huì)有換行影響服務(wù)端解碼。導(dǎo)致解碼失敗。

關(guān)于初始化配置:

NotCaptureHelper.getInstance.config = CaptureConfig.builder

//設(shè)置debug模式

.setDebug( true)

//設(shè)置是否禁用代理

.setProxy( false)

//設(shè)置是否進(jìn)行數(shù)據(jù)加密和解密,

.setEncrypt( true)

//設(shè)置cer證書路徑

.setCerPath( "")

//設(shè)置是否進(jìn)行CA證書校驗(yàn)

.setCaVerify( false)

//設(shè)置加密和解密key

.setEncryptKey(key)

//設(shè)置參數(shù)

.setReservedQueryParam(OkHttpBuilder.RESERVED_QUERY_PARAM_NAMES)

.setMonitorToggle( object: IMonitorToggle {

overridefunisOpen: Boolean{

//todo 是否降級(jí),如果降級(jí),則不使用該功能。留給AB測(cè)試開關(guān)

returnfalse

}

})

.build

設(shè)置okHttp配置:

NotCaptureHelper.getInstance.setOkHttp( app, okHttpBuilder)

如何設(shè)置自己的加解密方式:

NotCaptureHelper.getInstance.encryptDecryptListener = object: EncryptDecryptListener {

/**

* 外部實(shí)現(xiàn)自定義加密數(shù)據(jù)

*/

overridefunencryptData(key: String, data: String) : String {

LoggerReporter.report( "NotCaptureHelper", "encryptData data : $data" )

valstr = data.encryptWithRC4(key) ?: ""

LoggerReporter.report( "NotCaptureHelper", "encryptData str : $str" )

returnstr

}

/**

* 外部實(shí)現(xiàn)自定義解密數(shù)據(jù)

*/

overridefundecryptData(key: String, data: String) : String {

LoggerReporter.report( "NotCaptureHelper", "decryptData data : $data" )

valstr = data.decryptWithRC4(key) ?: ""

LoggerReporter.report( "NotCaptureHelper", "decryptData str : $str" )

returnstr

}

}

5.6 防抓包功能自測(cè)

網(wǎng)絡(luò)請(qǐng)求測(cè)試:

正常請(qǐng)求,測(cè)試網(wǎng)絡(luò)功能是否正常。

抓包測(cè)試:

配置fiddler,charles等工具。

手機(jī)上設(shè)置代理。

手機(jī)上安裝證書。

單向認(rèn)證測(cè)試:進(jìn)行網(wǎng)絡(luò)請(qǐng)求,會(huì)提示 SSLHandshakeException即ssl握手失敗的錯(cuò)誤提示,即表示app端的單向認(rèn)證成功。

數(shù)據(jù)加解密:進(jìn)行網(wǎng)絡(luò)請(qǐng)求,看一下請(qǐng)求參數(shù)和響應(yīng)body數(shù)據(jù)是否加密,如果看不到實(shí)際json實(shí)體則表示加密成功。

網(wǎng)絡(luò)請(qǐng)求測(cè)試:

正常請(qǐng)求,測(cè)試網(wǎng)絡(luò)功能是否正常。

正常請(qǐng)求,測(cè)試網(wǎng)絡(luò)功能是否正常。

抓包測(cè)試:

配置fiddler,charles等工具。

手機(jī)上設(shè)置代理。

手機(jī)上安裝證書。

單向認(rèn)證測(cè)試:進(jìn)行網(wǎng)絡(luò)請(qǐng)求,會(huì)提示 SSLHandshakeException即ssl握手失敗的錯(cuò)誤提示,即表示app端的單向認(rèn)證成功。

數(shù)據(jù)加解密:進(jìn)行網(wǎng)絡(luò)請(qǐng)求,看一下請(qǐng)求參數(shù)和響應(yīng)body數(shù)據(jù)是否加密,如果看不到實(shí)際json實(shí)體則表示加密成功。

配置fiddler,charles等工具。

手機(jī)上設(shè)置代理。

手機(jī)上安裝證書。

單向認(rèn)證測(cè)試:進(jìn)行網(wǎng)絡(luò)請(qǐng)求,會(huì)提示 SSLHandshakeException即ssl握手失敗的錯(cuò)誤提示,即表示app端的單向認(rèn)證成功。

數(shù)據(jù)加解密:進(jìn)行網(wǎng)絡(luò)請(qǐng)求,看一下請(qǐng)求參數(shù)和響應(yīng)body數(shù)據(jù)是否加密,如果看不到實(shí)際json實(shí)體則表示加密成功。

https://github.com/yangchong211/YCToolLib

綜合庫(kù):

https://github.com/yangchong211/YCAppTool

視頻播放器:

https://github.com/yangchong211/YCVideoPlayer

為了防止失聯(lián),歡迎關(guān)注我防備的小號(hào)

微信改了推送機(jī)制,真愛(ài)請(qǐng)星標(biāo)本公號(hào)??

掃描二維碼推送至手機(jī)訪問(wèn)。

版權(quán)聲明:本文由飛速云SEO網(wǎng)絡(luò)優(yōu)化推廣發(fā)布,如需轉(zhuǎn)載請(qǐng)注明出處。

本文鏈接:http://www.atlasseeker.com/post/73980.html

“左右滾動(dòng)banner代碼(左右滾動(dòng)圖片html)” 的相關(guān)文章

如何開發(fā)一個(gè)軟件平臺(tái)(如何制作一個(gè)平臺(tái)軟件)

如何開發(fā)一個(gè)軟件平臺(tái)(如何制作一個(gè)平臺(tái)軟件)

本篇文章給大家談?wù)勅绾伍_發(fā)一個(gè)軟件平臺(tái),以及如何制作一個(gè)平臺(tái)軟件對(duì)應(yīng)的知識(shí)點(diǎn),希望對(duì)各位有所幫助,不要忘了收藏本站喔。 本文目錄一覽: 1、如何自己開發(fā)一個(gè)app軟件 2、怎么開發(fā)app軟件? 3、企業(yè)使用的APP軟件如何開發(fā)? 4、如何開發(fā)一個(gè)App? 5、如何自己開發(fā)軟件app...

紅盟發(fā)卡網(wǎng)源碼(紅盟發(fā)卡網(wǎng)源碼查詢)

紅盟發(fā)卡網(wǎng)源碼(紅盟發(fā)卡網(wǎng)源碼查詢)

今天給各位分享紅盟發(fā)卡網(wǎng)源碼的知識(shí),其中也會(huì)對(duì)紅盟發(fā)卡網(wǎng)源碼查詢進(jìn)行解釋,如果能碰巧解決你現(xiàn)在面臨的問(wèn)題,別忘了關(guān)注本站,現(xiàn)在開始吧!本文目錄一覽: 1、發(fā)卡網(wǎng)源碼支付寶對(duì)接 2、如何創(chuàng)建一個(gè)自己的發(fā)卡網(wǎng)平臺(tái),將其作為副業(yè)收入如何? 3、卡網(wǎng)網(wǎng)站怎么做 4、請(qǐng)問(wèn)誰(shuí)有網(wǎng)站自動(dòng)發(fā)卡平臺(tái)的源碼...

什么記賬軟件好用簡(jiǎn)單(什么記賬軟件好用簡(jiǎn)單手機(jī))

什么記賬軟件好用簡(jiǎn)單(什么記賬軟件好用簡(jiǎn)單手機(jī))

今天給各位分享什么記賬軟件好用簡(jiǎn)單的知識(shí),其中也會(huì)對(duì)什么記賬軟件好用簡(jiǎn)單手機(jī)進(jìn)行解釋,如果能碰巧解決你現(xiàn)在面臨的問(wèn)題,別忘了關(guān)注本站,現(xiàn)在開始吧!本文目錄一覽: 1、手機(jī)記賬軟件哪個(gè)好? 2、有哪些好用的記賬app? 3、好用的記賬軟件有哪些? 手機(jī)記賬軟件哪個(gè)好? 現(xiàn)在常用的記賬app主...

免費(fèi)開掛的軟件pubgmobile(免費(fèi)開掛的軟件下載和平精英)

免費(fèi)開掛的軟件pubgmobile(免費(fèi)開掛的軟件下載和平精英)

今天給各位分享免費(fèi)開掛的軟件pubgmobile的知識(shí),其中也會(huì)對(duì)免費(fèi)開掛的軟件下載和平精英進(jìn)行解釋,如果能碰巧解決你現(xiàn)在面臨的問(wèn)題,別忘了關(guān)注本站,現(xiàn)在開始吧!本文目錄一覽: 1、pubgmobile輔助哪里買 2、和平精英真正可以開掛的軟件 3、pubg國(guó)際服怎樣開掛 pubgmobi...

企業(yè)門戶網(wǎng)站系統(tǒng)設(shè)計(jì)(企業(yè)網(wǎng)站頁(yè)面布局設(shè)計(jì))

企業(yè)門戶網(wǎng)站系統(tǒng)設(shè)計(jì)(企業(yè)網(wǎng)站頁(yè)面布局設(shè)計(jì))

今天給各位分享企業(yè)門戶網(wǎng)站系統(tǒng)設(shè)計(jì)的知識(shí),其中也會(huì)對(duì)企業(yè)網(wǎng)站頁(yè)面布局設(shè)計(jì)進(jìn)行解釋,如果能碰巧解決你現(xiàn)在面臨的問(wèn)題,別忘了關(guān)注本站,現(xiàn)在開始吧!本文目錄一覽: 1、以wordpress為基礎(chǔ),改造成企業(yè)門戶網(wǎng)站,難度高嗎 2、請(qǐng)問(wèn)怎么制做網(wǎng)頁(yè)?怎么編程? 3、廣州有名的大型網(wǎng)站設(shè)計(jì)公司有哪些?...

html靜態(tài)網(wǎng)頁(yè)制作代碼大全(html靜態(tài)網(wǎng)頁(yè)制作代碼大全下載)

html靜態(tài)網(wǎng)頁(yè)制作代碼大全(html靜態(tài)網(wǎng)頁(yè)制作代碼大全下載)

今天給各位分享html靜態(tài)網(wǎng)頁(yè)制作代碼大全的知識(shí),其中也會(huì)對(duì)html靜態(tài)網(wǎng)頁(yè)制作代碼大全下載進(jìn)行解釋,如果能碰巧解決你現(xiàn)在面臨的問(wèn)題,別忘了關(guān)注本站,現(xiàn)在開始吧!本文目錄一覽: 1、尋找最全的HTML語(yǔ)言代碼大全 2、html求制作一個(gè)簡(jiǎn)單網(wǎng)頁(yè)代碼,只需要一些文字加張圖片 3、用html如何...