左右滾動(dòng)banner代碼(左右滾動(dòng)圖片html)
安卓進(jìn)階漲薪訓(xùn)練營(yíng),讓一部分人先進(jìn)大廠
大家好,我是皇叔,最近開了一個(gè)安卓進(jìn)階漲薪訓(xùn)練營(yíng),可以幫助大家突破技術(shù)職場(chǎng)瓶頸,從而度過(guò)難關(guān),進(jìn)入心儀的公司。
詳情見(jiàn)文章: 沒(méi)錯(cuò)!皇叔開了個(gè)訓(xùn)練營(yíng)
1.整體概述介紹
1.1 項(xiàng)目背景
通訊安全是App安全檢測(cè)過(guò)程中非常重要的一項(xiàng)。
針對(duì)該項(xiàng)的主要檢測(cè)手段就是使用中間人代理機(jī)制對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行抓包、攔截和篡改,以檢驗(yàn)App在核心鏈路上是否有安全漏洞。
保證數(shù)據(jù)安全。
通過(guò)charles等工具可以對(duì)app的網(wǎng)絡(luò)請(qǐng)求進(jìn)行抓包,這樣這些信息就會(huì)被清除的提取出來(lái),會(huì)被不法分子進(jìn)行利用。
不想被競(jìng)爭(zhēng)對(duì)手逆向抓包。
不想自身App的數(shù)據(jù)被別人輕而易舉地抓包獲取到,從而進(jìn)行類似業(yè)務(wù)或數(shù)據(jù)分析、爬蟲或網(wǎng)絡(luò)攻擊等破壞性行為。
通訊安全是App安全檢測(cè)過(guò)程中非常重要的一項(xiàng)。
針對(duì)該項(xiàng)的主要檢測(cè)手段就是使用中間人代理機(jī)制對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行抓包、攔截和篡改,以檢驗(yàn)App在核心鏈路上是否有安全漏洞。
針對(duì)該項(xiàng)的主要檢測(cè)手段就是使用中間人代理機(jī)制對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行抓包、攔截和篡改,以檢驗(yàn)App在核心鏈路上是否有安全漏洞。
保證數(shù)據(jù)安全。
通過(guò)charles等工具可以對(duì)app的網(wǎng)絡(luò)請(qǐng)求進(jìn)行抓包,這樣這些信息就會(huì)被清除的提取出來(lái),會(huì)被不法分子進(jìn)行利用。
通過(guò)charles等工具可以對(duì)app的網(wǎng)絡(luò)請(qǐng)求進(jìn)行抓包,這樣這些信息就會(huì)被清除的提取出來(lái),會(huì)被不法分子進(jìn)行利用。
不想被競(jìng)爭(zhēng)對(duì)手逆向抓包。
不想自身App的數(shù)據(jù)被別人輕而易舉地抓包獲取到,從而進(jìn)行類似業(yè)務(wù)或數(shù)據(jù)分析、爬蟲或網(wǎng)絡(luò)攻擊等破壞性行為。
不想自身App的數(shù)據(jù)被別人輕而易舉地抓包獲取到,從而進(jìn)行類似業(yè)務(wù)或數(shù)據(jù)分析、爬蟲或網(wǎng)絡(luò)攻擊等破壞性行為。
開發(fā)項(xiàng)目的時(shí)候,都需要抓包,很多情況下即使是Https也能正常抓包正常。那么問(wèn)題來(lái)了:
抓包的原理是?任何Https的 app 都能抓的到嗎?如果不能,哪些情況下可以抓取,哪些情況下抓取不到?
什么叫做中間人攻擊?
使用HTTPS協(xié)議進(jìn)行通信時(shí),客戶端需要對(duì)服務(wù)器身份進(jìn)行完整性校驗(yàn),以確認(rèn)服務(wù)器是真實(shí)合法的目標(biāo)服務(wù)器。
如果沒(méi)有校驗(yàn),客戶端可能與仿冒的服務(wù)器建立通信鏈接,即“中間人攻擊”。
展開全文
開發(fā)項(xiàng)目的時(shí)候,都需要抓包,很多情況下即使是Https也能正常抓包正常。那么問(wèn)題來(lái)了:
抓包的原理是?任何Https的 app 都能抓的到嗎?如果不能,哪些情況下可以抓取,哪些情況下抓取不到?
抓包的原理是?任何Https的 app 都能抓的到嗎?如果不能,哪些情況下可以抓取,哪些情況下抓取不到?
什么叫做中間人攻擊?
使用HTTPS協(xié)議進(jìn)行通信時(shí),客戶端需要對(duì)服務(wù)器身份進(jìn)行完整性校驗(yàn),以確認(rèn)服務(wù)器是真實(shí)合法的目標(biāo)服務(wù)器。
如果沒(méi)有校驗(yàn),客戶端可能與仿冒的服務(wù)器建立通信鏈接,即“中間人攻擊”。
使用HTTPS協(xié)議進(jìn)行通信時(shí),客戶端需要對(duì)服務(wù)器身份進(jìn)行完整性校驗(yàn),以確認(rèn)服務(wù)器是真實(shí)合法的目標(biāo)服務(wù)器。
如果沒(méi)有校驗(yàn),客戶端可能與仿冒的服務(wù)器建立通信鏈接,即“中間人攻擊”。
防止App被各種方式抓包。
做好各種防抓包安全措施,避免各種黑科技抓包。
沉淀為技術(shù)庫(kù)復(fù)用。
目前只是針對(duì)App端有需要做防抓包措施,后期其他業(yè)務(wù)線可能也有這個(gè)需要。因此下沉為工具庫(kù),傻瓜式調(diào)用很有必要。
該庫(kù)終極設(shè)計(jì)目標(biāo)如下所示。
第一點(diǎn):必須是低入侵性,對(duì)原有代碼改動(dòng)少,最簡(jiǎn)單的加入是一行代碼設(shè)置即可。完全解耦合。
第二點(diǎn):可以動(dòng)態(tài)靈活配置,支持配置禁止代理,支持配置是否證書校驗(yàn),支持配置域名合法性過(guò)濾,支持?jǐn)r截器加解密數(shù)據(jù)。
第三點(diǎn):可以檢測(cè)App是否在雙開,掛載,Xposed攻擊環(huán)境。
第四點(diǎn):可以靈活設(shè)置加解密的key,可以靈活替換加解密方式,比如目前采用RC4,另一個(gè)項(xiàng)目想用DES,可以靈活更換。
防止App被各種方式抓包。
做好各種防抓包安全措施,避免各種黑科技抓包。
做好各種防抓包安全措施,避免各種黑科技抓包。
沉淀為技術(shù)庫(kù)復(fù)用。
目前只是針對(duì)App端有需要做防抓包措施,后期其他業(yè)務(wù)線可能也有這個(gè)需要。因此下沉為工具庫(kù),傻瓜式調(diào)用很有必要。
目前只是針對(duì)App端有需要做防抓包措施,后期其他業(yè)務(wù)線可能也有這個(gè)需要。因此下沉為工具庫(kù),傻瓜式調(diào)用很有必要。
該庫(kù)終極設(shè)計(jì)目標(biāo)如下所示。
第一點(diǎn):必須是低入侵性,對(duì)原有代碼改動(dòng)少,最簡(jiǎn)單的加入是一行代碼設(shè)置即可。完全解耦合。
第二點(diǎn):可以動(dòng)態(tài)靈活配置,支持配置禁止代理,支持配置是否證書校驗(yàn),支持配置域名合法性過(guò)濾,支持?jǐn)r截器加解密數(shù)據(jù)。
第三點(diǎn):可以檢測(cè)App是否在雙開,掛載,Xposed攻擊環(huán)境。
第四點(diǎn):可以靈活設(shè)置加解密的key,可以靈活替換加解密方式,比如目前采用RC4,另一個(gè)項(xiàng)目想用DES,可以靈活更換。
第一點(diǎn):必須是低入侵性,對(duì)原有代碼改動(dòng)少,最簡(jiǎn)單的加入是一行代碼設(shè)置即可。完全解耦合。
第二點(diǎn):可以動(dòng)態(tài)靈活配置,支持配置禁止代理,支持配置是否證書校驗(yàn),支持配置域名合法性過(guò)濾,支持?jǐn)r截器加解密數(shù)據(jù)。
第三點(diǎn):可以檢測(cè)App是否在雙開,掛載,Xposed攻擊環(huán)境。
第四點(diǎn):可以靈活設(shè)置加解密的key,可以靈活替換加解密方式,比如目前采用RC4,另一個(gè)項(xiàng)目想用DES,可以靈活更換。
抓包庫(kù)收益。
提高產(chǎn)品App的數(shù)據(jù)安全,必須對(duì)數(shù)據(jù)傳輸做好安全保護(hù)措施和完整性校驗(yàn),以防止自身數(shù)據(jù)在網(wǎng)絡(luò)傳輸中裸奔,甚至是被三方惡意利用或攻擊。
技能的收益。
下沉為功能基礎(chǔ)庫(kù),可以方便各個(gè)產(chǎn)品線使用,提高開發(fā)的效率。避免跟業(yè)務(wù)解耦合。傻瓜式調(diào)用,低成本接入!
抓包庫(kù)收益。
提高產(chǎn)品App的數(shù)據(jù)安全,必須對(duì)數(shù)據(jù)傳輸做好安全保護(hù)措施和完整性校驗(yàn),以防止自身數(shù)據(jù)在網(wǎng)絡(luò)傳輸中裸奔,甚至是被三方惡意利用或攻擊。
提高產(chǎn)品App的數(shù)據(jù)安全,必須對(duì)數(shù)據(jù)傳輸做好安全保護(hù)措施和完整性校驗(yàn),以防止自身數(shù)據(jù)在網(wǎng)絡(luò)傳輸中裸奔,甚至是被三方惡意利用或攻擊。
技能的收益。
下沉為功能基礎(chǔ)庫(kù),可以方便各個(gè)產(chǎn)品線使用,提高開發(fā)的效率。避免跟業(yè)務(wù)解耦合。傻瓜式調(diào)用,低成本接入!
2.市面抓包的分析
2.1 Https三要素
要清楚HTTPS抓包的原理,首先需要先說(shuō)清楚 HTTPS 實(shí)現(xiàn)數(shù)據(jù)安全傳輸?shù)墓ぷ髟?,主要分為三要素和三階段。
Http傳輸數(shù)據(jù)目前存在的問(wèn)題:
1.通信使用明文,內(nèi)容可能被竊聽;
2.不驗(yàn)證通信方的身份,因此可能遭遇偽裝;
3.無(wú)法證明報(bào)文的完整性,所以有可能遭到篡改。
Https三要素分別是:
1. 加密:通過(guò)對(duì)稱加密算法實(shí)現(xiàn)。
2. 認(rèn)證:通過(guò)數(shù)字簽名實(shí)現(xiàn)。(因?yàn)樗借€只有 “合法的發(fā)送方” 持有,其他人偽造的數(shù)字簽名無(wú)法通過(guò)驗(yàn)證)
3. 報(bào)文完整性:通過(guò)數(shù)字簽名實(shí)現(xiàn)。(因?yàn)閿?shù)字簽名中使用了消息摘要,其他人篡改的消息無(wú)法通過(guò)驗(yàn)證)
Https三階段分別是:
1. CA 證書校驗(yàn):CA 證書校驗(yàn)發(fā)生在 TLS 的前兩次握手,客戶端和服務(wù)端通過(guò)報(bào)文獲得服務(wù)端 CA 證書,客戶端驗(yàn)證 CA 證書合法性,從而確認(rèn) CA 證書中的公鑰合法性(大多數(shù)場(chǎng)景不會(huì)做雙向認(rèn)證,即服務(wù)端不會(huì)認(rèn)證客戶端合法性,這里先不考慮)。
2. 密鑰協(xié)商:密鑰協(xié)商發(fā)生在 TLS 的后兩次握手,客戶端和服務(wù)端分別基于公鑰和私鑰進(jìn)行非對(duì)稱加密通信,協(xié)商獲得 Master Secret 對(duì)稱加密私鑰(不同算法的協(xié)商過(guò)程細(xì)節(jié)略有不同)。
3. 數(shù)據(jù)傳輸:數(shù)據(jù)傳輸發(fā)生在 TLS 握手之后,客戶端和服務(wù)端基于協(xié)商的對(duì)稱密鑰進(jìn)行對(duì)稱加密通信。
Https流程圖如下:
2.2 抓包核心原理
HTTPS抓包原理。
Fiddler、Charles等抓包工具,其實(shí)都是采用了中間人攻擊的方案:將客戶端的網(wǎng)絡(luò)流量代理到MITM(中間人)主機(jī),再通過(guò)一系列的面板或工具將網(wǎng)絡(luò)請(qǐng)求結(jié)構(gòu)化地呈現(xiàn)出來(lái)。
抓包Https有兩個(gè)突破點(diǎn)。
CA證書校驗(yàn)是否合法;數(shù)據(jù)傳遞過(guò)程中的加密和解密。如果是要抓包,則需要突破這兩點(diǎn)的技術(shù),無(wú)非就是MITM(中間人)偽造證書和使用自己的加解密方式。
抓包的工作流程如下:
中間人截獲客戶端向發(fā)起的HTTPS請(qǐng)求,佯裝客戶端,向真實(shí)的服務(wù)器發(fā)起請(qǐng)求;
中間人截獲真實(shí)服務(wù)器的返回,佯裝真實(shí)服務(wù)器,向客戶端發(fā)送數(shù)據(jù);
中間人獲取了用來(lái)加密服務(wù)器公鑰的非對(duì)稱秘鑰和用來(lái)加密數(shù)據(jù)的對(duì)稱秘鑰,處理數(shù)據(jù)加解密。
HTTPS抓包原理。
Fiddler、Charles等抓包工具,其實(shí)都是采用了中間人攻擊的方案:將客戶端的網(wǎng)絡(luò)流量代理到MITM(中間人)主機(jī),再通過(guò)一系列的面板或工具將網(wǎng)絡(luò)請(qǐng)求結(jié)構(gòu)化地呈現(xiàn)出來(lái)。
Fiddler、Charles等抓包工具,其實(shí)都是采用了中間人攻擊的方案:將客戶端的網(wǎng)絡(luò)流量代理到MITM(中間人)主機(jī),再通過(guò)一系列的面板或工具將網(wǎng)絡(luò)請(qǐng)求結(jié)構(gòu)化地呈現(xiàn)出來(lái)。
抓包Https有兩個(gè)突破點(diǎn)。
CA證書校驗(yàn)是否合法;數(shù)據(jù)傳遞過(guò)程中的加密和解密。如果是要抓包,則需要突破這兩點(diǎn)的技術(shù),無(wú)非就是MITM(中間人)偽造證書和使用自己的加解密方式。
CA證書校驗(yàn)是否合法;數(shù)據(jù)傳遞過(guò)程中的加密和解密。如果是要抓包,則需要突破這兩點(diǎn)的技術(shù),無(wú)非就是MITM(中間人)偽造證書和使用自己的加解密方式。
抓包的工作流程如下:
中間人截獲客戶端向發(fā)起的HTTPS請(qǐng)求,佯裝客戶端,向真實(shí)的服務(wù)器發(fā)起請(qǐng)求;
中間人截獲真實(shí)服務(wù)器的返回,佯裝真實(shí)服務(wù)器,向客戶端發(fā)送數(shù)據(jù);
中間人獲取了用來(lái)加密服務(wù)器公鑰的非對(duì)稱秘鑰和用來(lái)加密數(shù)據(jù)的對(duì)稱秘鑰,處理數(shù)據(jù)加解密。
中間人截獲客戶端向發(fā)起的HTTPS請(qǐng)求,佯裝客戶端,向真實(shí)的服務(wù)器發(fā)起請(qǐng)求;
中間人截獲真實(shí)服務(wù)器的返回,佯裝真實(shí)服務(wù)器,向客戶端發(fā)送數(shù)據(jù);
中間人獲取了用來(lái)加密服務(wù)器公鑰的非對(duì)稱秘鑰和用來(lái)加密數(shù)據(jù)的對(duì)稱秘鑰,處理數(shù)據(jù)加解密。
Https抓包核心CA證書。
HTTPS抓包的原理還是挺簡(jiǎn)單的,簡(jiǎn)單來(lái)說(shuō),就是Charles作為“中間人代理”,拿到了服務(wù)器證書公鑰和HTTPS連接的對(duì)稱密鑰。
前提是客戶端選擇信任并安裝Charles的CA證書,否則客戶端就會(huì)“報(bào)警”并中止連接。這樣看來(lái),HTTPS還是很安全的。
安裝CA證書到手機(jī)中必須洗白。
抓包應(yīng)用內(nèi)置的 CA 證書要洗白,必須安裝到系統(tǒng)中。而 Android 系統(tǒng)將 CA 證書又分為兩種:用戶 CA 證書和系統(tǒng) CA 證書(必要Root權(quán)限)。
Android從7.0開始限制CA證書。
只有系統(tǒng)(system)證書才會(huì)被信任。用戶(user)導(dǎo)入的Charles根證書是不被信任的。相當(dāng)于可以理解Android系統(tǒng)增加了安全校驗(yàn)!
如何繞過(guò)CA證書這種限制呢?已知有以下四種方式:
第一種方式: AndroidManifest 中配置 networkSecurityConfig,App 信任用戶 CA 證書,讓系統(tǒng)對(duì)用戶 CA 證書的校驗(yàn)給予通過(guò)。
第二種方式:調(diào)低 targetSdkVersion 24,不過(guò)這種方式谷歌市場(chǎng)有限制,意味著抓 HTTPS 的包越來(lái)越難操作。
第三種方式:掛載App抓包,VirtualApp 這種多開應(yīng)用可以作為宿主系統(tǒng)來(lái)運(yùn)行其它應(yīng)用,利用xposed避開CA證書校驗(yàn)。
第四種方式:Root手機(jī),把 CA 證書安裝到系統(tǒng) CA 證書目錄中,那這個(gè)假 CA 證書就是真正洗白了,難度較大。
Https抓包核心CA證書。
HTTPS抓包的原理還是挺簡(jiǎn)單的,簡(jiǎn)單來(lái)說(shuō),就是Charles作為“中間人代理”,拿到了服務(wù)器證書公鑰和HTTPS連接的對(duì)稱密鑰。
前提是客戶端選擇信任并安裝Charles的CA證書,否則客戶端就會(huì)“報(bào)警”并中止連接。這樣看來(lái),HTTPS還是很安全的。
HTTPS抓包的原理還是挺簡(jiǎn)單的,簡(jiǎn)單來(lái)說(shuō),就是Charles作為“中間人代理”,拿到了服務(wù)器證書公鑰和HTTPS連接的對(duì)稱密鑰。
前提是客戶端選擇信任并安裝Charles的CA證書,否則客戶端就會(huì)“報(bào)警”并中止連接。這樣看來(lái),HTTPS還是很安全的。
安裝CA證書到手機(jī)中必須洗白。
抓包應(yīng)用內(nèi)置的 CA 證書要洗白,必須安裝到系統(tǒng)中。而 Android 系統(tǒng)將 CA 證書又分為兩種:用戶 CA 證書和系統(tǒng) CA 證書(必要Root權(quán)限)。
抓包應(yīng)用內(nèi)置的 CA 證書要洗白,必須安裝到系統(tǒng)中。而 Android 系統(tǒng)將 CA 證書又分為兩種:用戶 CA 證書和系統(tǒng) CA 證書(必要Root權(quán)限)。
Android從7.0開始限制CA證書。
只有系統(tǒng)(system)證書才會(huì)被信任。用戶(user)導(dǎo)入的Charles根證書是不被信任的。相當(dāng)于可以理解Android系統(tǒng)增加了安全校驗(yàn)!
只有系統(tǒng)(system)證書才會(huì)被信任。用戶(user)導(dǎo)入的Charles根證書是不被信任的。相當(dāng)于可以理解Android系統(tǒng)增加了安全校驗(yàn)!
如何繞過(guò)CA證書這種限制呢?已知有以下四種方式:
第一種方式: AndroidManifest 中配置 networkSecurityConfig,App 信任用戶 CA 證書,讓系統(tǒng)對(duì)用戶 CA 證書的校驗(yàn)給予通過(guò)。
第二種方式:調(diào)低 targetSdkVersion 24,不過(guò)這種方式谷歌市場(chǎng)有限制,意味著抓 HTTPS 的包越來(lái)越難操作。
第三種方式:掛載App抓包,VirtualApp 這種多開應(yīng)用可以作為宿主系統(tǒng)來(lái)運(yùn)行其它應(yīng)用,利用xposed避開CA證書校驗(yàn)。
第四種方式:Root手機(jī),把 CA 證書安裝到系統(tǒng) CA 證書目錄中,那這個(gè)假 CA 證書就是真正洗白了,難度較大。
第一種方式: AndroidManifest 中配置 networkSecurityConfig,App 信任用戶 CA 證書,讓系統(tǒng)對(duì)用戶 CA 證書的校驗(yàn)給予通過(guò)。
第二種方式:調(diào)低 targetSdkVersion 24,不過(guò)這種方式谷歌市場(chǎng)有限制,意味著抓 HTTPS 的包越來(lái)越難操作。
第三種方式:掛載App抓包,VirtualApp 這種多開應(yīng)用可以作為宿主系統(tǒng)來(lái)運(yùn)行其它應(yīng)用,利用xposed避開CA證書校驗(yàn)。
第四種方式:Root手機(jī),把 CA 證書安裝到系統(tǒng) CA 證書目錄中,那這個(gè)假 CA 證書就是真正洗白了,難度較大。
App版本如何讓證書校驗(yàn)安全。
1.設(shè)置targetSdkVersion大于24,去掉清單文件中networkSecurityConfig文件中的system和user配置,設(shè)置不信任用戶證書。
2.公鑰證書固定。指 Client 端內(nèi)置 Server 端真正的公鑰證書。在 HTTPS 請(qǐng)求時(shí),Server 端發(fā)給客戶端的公鑰證書必須與 Client 端內(nèi)置的公鑰證書一致,請(qǐng)求才會(huì)成功。
? 證書固定的一般做法是,將公鑰證書(.crt 或者 .cer 等格式)內(nèi)置到 App 中,然后創(chuàng)建TrustManager 時(shí)將公鑰證書加進(jìn)去。
那么如何突破CA證書校驗(yàn)。
第一種:JustTrustMe破解證書固定。Xposed 和 Magisk 都有相應(yīng)的模塊,用來(lái)破解證書固定,實(shí)現(xiàn)正常抓包。破解的原理大致是,Hook 創(chuàng)建 SSLContext 等涉及 TrustManager相關(guān)的方法,將固定的證書移除。
第二種:基于 VirtualApp 的 Hook 機(jī)制破解證書固定。在 VirtualApp 中加入 Hook 代碼,然后利用 VirtualApp 打開目標(biāo)應(yīng)用進(jìn)行抓包。具體看:VirtualHook。
https://github.com/PAGalaxyLab/VirtualHook
2.5 如何搞定加解密
? 目前使用對(duì)稱加密和解密請(qǐng)求和響應(yīng)數(shù)據(jù)。
加密和解密都是用相同密鑰。只有一把密鑰,如果密鑰暴露,內(nèi)容就會(huì)暴露。但是這一塊逆向破解有些難度。而破解解密方式就是用密鑰逆向解密,或者中間人冒充使用自己的加解密方式!
? 加密后數(shù)據(jù)鎮(zhèn)兼顧了安全性嗎?
不一定安全。中間人偽造自己的公鑰和私鑰,然后攔截信息,進(jìn)行篡改。
2.6 Charles原理
? Charles類似代理服務(wù)器
Charles 通過(guò)將軟件本身設(shè)置成系統(tǒng)的網(wǎng)絡(luò)訪問(wèn)代理服務(wù)器,使得所有的網(wǎng)絡(luò)請(qǐng)求都會(huì)走一遍 Charles 代理,從而 Charles 可以截取經(jīng)過(guò)它的請(qǐng)求,然后我們就可以對(duì)其進(jìn)行網(wǎng)絡(luò)包的分析。
? 截取設(shè)備網(wǎng)絡(luò)封包數(shù)據(jù)
Charles對(duì)應(yīng)設(shè)置:將代理功能打開,并設(shè)置一個(gè)固定的端口。默認(rèn)情況下,端口號(hào)為:8888 。
移動(dòng)設(shè)備設(shè)置:在手機(jī)上設(shè)置 WIFI 的 HTTP 代理。注意這里的前提是,Phone 和 Charles 代理設(shè)備鏈接的是同一網(wǎng)絡(luò)(同一個(gè)ip地址和端口號(hào))。
? 截取Https的網(wǎng)絡(luò)封包
正常情況下,Charles 是不能截取Https的網(wǎng)絡(luò)包的,這涉及到 Https 的證書問(wèn)題。
2.7 抓包原理圖
Charles抓包原理圖:
Android上的網(wǎng)絡(luò)抓包原來(lái)是這樣工作的:
Charles抓包:
https://mp.weixin.qq.com/s/kqMUbHl59V75w8xBxHbXkA
2.8 抓包核心流程
? 抓包核心流程關(guān)鍵節(jié)點(diǎn):
第一步,客戶端向服務(wù)器發(fā)起HTTPS請(qǐng)求,charles截獲客戶端發(fā)送給服務(wù)器的HTTPS請(qǐng)求,charles偽裝成客戶端向服務(wù)器發(fā)送請(qǐng)求進(jìn)行握手 。
第二步,服務(wù)器發(fā)回相應(yīng),charles獲取到服務(wù)器的CA證書,用根證書(這里的根證書是CA認(rèn)證中心給自己頒發(fā)的證書)公鑰進(jìn)行解密,驗(yàn)證服務(wù)器數(shù)據(jù)簽名,獲取到服務(wù)器CA證書公鑰。然后charles偽造自己的CA證書(這里的CA證書,也是根證書,只不過(guò)是charles偽造的根證書),冒充服務(wù)器證書傳遞給客戶端瀏覽器。
第三步,與普通過(guò)程中客戶端的操作相同,客戶端根據(jù)返回的數(shù)據(jù)進(jìn)行證書校驗(yàn)、生成密碼Pre_master、用charles偽造的證書公鑰加密,并生成HTTPS通信用的對(duì)稱密鑰enc_key。
第四步,客戶端將重要信息傳遞給服務(wù)器,又被charles截獲。charles將截獲的密文用自己偽造證書的私鑰解開,獲得并計(jì)算得到HTTPS通信用的對(duì)稱密鑰enc_key。charles將對(duì)稱密鑰用服務(wù)器證書公鑰加密傳遞給服務(wù)器。
第五步,與普通過(guò)程中服務(wù)器端的操作相同,服務(wù)器用私鑰解開后建立信任,然后再發(fā)送加密的握手消息給客戶端。
第六步,charles截獲服務(wù)器發(fā)送的密文,用對(duì)稱密鑰解開,再用自己偽造證書的私鑰加密傳給客戶端。
第七步,客戶端拿到加密信息后,用公鑰解開,驗(yàn)證HASH。握手過(guò)程正式完成,客戶端與服務(wù)器端就這樣建立了”信任“。
? 在之后的正常加密通信過(guò)程中,charles如何在服務(wù)器與客戶端之間充當(dāng)?shù)谌吣兀?/p>
服務(wù)器—客戶端:charles接收到服務(wù)器發(fā)送的密文,用對(duì)稱密鑰解開,獲得服務(wù)器發(fā)送的明文。再次加密, 發(fā)送給客戶端。
客戶端—服務(wù)端:客戶端用對(duì)稱密鑰加密,被charles截獲后,解密獲得明文。再次加密,發(fā)送給服務(wù)器端。由于charles一直擁有通信用對(duì)稱密鑰enc_key,所以在整個(gè)HTTPS通信過(guò)程中信息對(duì)其透明。
3.防止抓包思路
3.1 先看如何抓包
使用Charles需要做哪些操作:
1. 電腦上需要安裝證書。這個(gè)主要是讓Charles充當(dāng)中間人,頒布自己的CA證書。
2. 手機(jī)上需要安裝證書。這個(gè)是訪問(wèn)Charles獲取手機(jī)證書,然后安裝即可。
3. Android項(xiàng)目代碼設(shè)置兼容。Google 推出更加嚴(yán)格的安全機(jī)制,應(yīng)用默認(rèn)不信任用戶證書(手機(jī)里自己安裝證書),自己的app可以通過(guò)配置解決,相當(dāng)于信任證書的一種操作!
尤其可知抓包的突破口集中以下幾點(diǎn):
第一點(diǎn):必須鏈接代理,且跟Charles要具有相同ip。 思路:客戶端是否可以判斷網(wǎng)絡(luò)是否被代理了。
第二點(diǎn):CA證書,這一塊避免使用黑科技hook證書校驗(yàn)代碼,或者擁有修改CA證書權(quán)限。 思路:集中在可以判斷是否掛載。
第三點(diǎn):冒充中間人CA證書,在客戶端client和服務(wù)端server之間篡改攔截?cái)?shù)據(jù)。 思路:可以做CA證書校驗(yàn)。
第四點(diǎn):為了可以在7.0上抓包,App往往配置清單文件 networkSecurityConfig。 思路:線上環(huán)境去掉該配置。
使用Charles需要做哪些操作:
1. 電腦上需要安裝證書。這個(gè)主要是讓Charles充當(dāng)中間人,頒布自己的CA證書。
2. 手機(jī)上需要安裝證書。這個(gè)是訪問(wèn)Charles獲取手機(jī)證書,然后安裝即可。
3. Android項(xiàng)目代碼設(shè)置兼容。Google 推出更加嚴(yán)格的安全機(jī)制,應(yīng)用默認(rèn)不信任用戶證書(手機(jī)里自己安裝證書),自己的app可以通過(guò)配置解決,相當(dāng)于信任證書的一種操作!
1. 電腦上需要安裝證書。這個(gè)主要是讓Charles充當(dāng)中間人,頒布自己的CA證書。
2. 手機(jī)上需要安裝證書。這個(gè)是訪問(wèn)Charles獲取手機(jī)證書,然后安裝即可。
3. Android項(xiàng)目代碼設(shè)置兼容。Google 推出更加嚴(yán)格的安全機(jī)制,應(yīng)用默認(rèn)不信任用戶證書(手機(jī)里自己安裝證書),自己的app可以通過(guò)配置解決,相當(dāng)于信任證書的一種操作!
尤其可知抓包的突破口集中以下幾點(diǎn):
第一點(diǎn):必須鏈接代理,且跟Charles要具有相同ip。 思路:客戶端是否可以判斷網(wǎng)絡(luò)是否被代理了。
第二點(diǎn):CA證書,這一塊避免使用黑科技hook證書校驗(yàn)代碼,或者擁有修改CA證書權(quán)限。 思路:集中在可以判斷是否掛載。
第三點(diǎn):冒充中間人CA證書,在客戶端client和服務(wù)端server之間篡改攔截?cái)?shù)據(jù)。 思路:可以做CA證書校驗(yàn)。
第四點(diǎn):為了可以在7.0上抓包,App往往配置清單文件 networkSecurityConfig。 思路:線上環(huán)境去掉該配置。
第一點(diǎn):必須鏈接代理,且跟Charles要具有相同ip。 思路:客戶端是否可以判斷網(wǎng)絡(luò)是否被代理了。
第二點(diǎn):CA證書,這一塊避免使用黑科技hook證書校驗(yàn)代碼,或者擁有修改CA證書權(quán)限。 思路:集中在可以判斷是否掛載。
第三點(diǎn):冒充中間人CA證書,在客戶端client和服務(wù)端server之間篡改攔截?cái)?shù)據(jù)。 思路:可以做CA證書校驗(yàn)。
第四點(diǎn):為了可以在7.0上抓包,App往往配置清單文件 networkSecurityConfig。 思路:線上環(huán)境去掉該配置。
一個(gè)是CA證書配置文件
debug包為了能夠抓包,需要配置 networkSecurityConfig清單文件的system和user權(quán)限,只有這樣才會(huì)信任用戶證書。
一個(gè)是檢驗(yàn)證書配置
不論是權(quán)威機(jī)構(gòu)頒發(fā)的證書還是自簽名的,打包一份到 app 內(nèi)部,比如存放在 asset 里。然后用這個(gè)KeyStore去引導(dǎo)生成的 TrustManager來(lái)提供證書驗(yàn)證。
一個(gè)是檢驗(yàn)域名合法性
Android允許開發(fā)者重定義證書驗(yàn)證方法,使用 HostnameVerifier類檢查證書中的主機(jī)名與使用該證書的服務(wù)器的主機(jī)名是否一致。
如果重寫的 HostnameVerifier不對(duì)服務(wù)器的主機(jī)名進(jìn)行驗(yàn)證,即驗(yàn)證失敗時(shí)也繼續(xù)與服務(wù)器建立通信鏈接,存在發(fā)生“中間人攻擊”的風(fēng)險(xiǎn)。
如何查看CA證書的數(shù)據(jù)
證書驗(yàn)證網(wǎng)站 ;SSL配置檢查網(wǎng)站
一個(gè)是CA證書配置文件
debug包為了能夠抓包,需要配置 networkSecurityConfig清單文件的system和user權(quán)限,只有這樣才會(huì)信任用戶證書。
debug包為了能夠抓包,需要配置 networkSecurityConfig清單文件的system和user權(quán)限,只有這樣才會(huì)信任用戶證書。
一個(gè)是檢驗(yàn)證書配置
不論是權(quán)威機(jī)構(gòu)頒發(fā)的證書還是自簽名的,打包一份到 app 內(nèi)部,比如存放在 asset 里。然后用這個(gè)KeyStore去引導(dǎo)生成的 TrustManager來(lái)提供證書驗(yàn)證。
不論是權(quán)威機(jī)構(gòu)頒發(fā)的證書還是自簽名的,打包一份到 app 內(nèi)部,比如存放在 asset 里。然后用這個(gè)KeyStore去引導(dǎo)生成的 TrustManager來(lái)提供證書驗(yàn)證。
一個(gè)是檢驗(yàn)域名合法性
Android允許開發(fā)者重定義證書驗(yàn)證方法,使用 HostnameVerifier類檢查證書中的主機(jī)名與使用該證書的服務(wù)器的主機(jī)名是否一致。
如果重寫的 HostnameVerifier不對(duì)服務(wù)器的主機(jī)名進(jìn)行驗(yàn)證,即驗(yàn)證失敗時(shí)也繼續(xù)與服務(wù)器建立通信鏈接,存在發(fā)生“中間人攻擊”的風(fēng)險(xiǎn)。
Android允許開發(fā)者重定義證書驗(yàn)證方法,使用 HostnameVerifier類檢查證書中的主機(jī)名與使用該證書的服務(wù)器的主機(jī)名是否一致。
如果重寫的 HostnameVerifier不對(duì)服務(wù)器的主機(jī)名進(jìn)行驗(yàn)證,即驗(yàn)證失敗時(shí)也繼續(xù)與服務(wù)器建立通信鏈接,存在發(fā)生“中間人攻擊”的風(fēng)險(xiǎn)。
如何查看CA證書的數(shù)據(jù)
證書驗(yàn)證網(wǎng)站 ;SSL配置檢查網(wǎng)站
證書驗(yàn)證網(wǎng)站 ;SSL配置檢查網(wǎng)站
網(wǎng)絡(luò)數(shù)據(jù)加密的需求
為了項(xiàng)目數(shù)據(jù)安全性,對(duì)請(qǐng)求體和響應(yīng)體加密,那肯定要知道請(qǐng)求體或響應(yīng)體在哪里,然后才能加密,其實(shí)都一樣不論是加密url里面的query內(nèi)容還是加密body體里面的都一樣。
對(duì)數(shù)據(jù)哪里進(jìn)行加密和解密
目前對(duì)數(shù)據(jù)返回的data進(jìn)行加解密。那么如何做數(shù)據(jù)加密呢?目前項(xiàng)目中采用RC4加密和解密數(shù)據(jù)。
抓取到的內(nèi)容為亂碼
有的APP為了防止抓取,在返回的內(nèi)容上做了層加密,所以從Charles上看到的內(nèi)容是亂碼。這種情況下也只能反編譯APP,研究其加密解密算法進(jìn)行解密。難度極大!
網(wǎng)絡(luò)數(shù)據(jù)加密的需求
為了項(xiàng)目數(shù)據(jù)安全性,對(duì)請(qǐng)求體和響應(yīng)體加密,那肯定要知道請(qǐng)求體或響應(yīng)體在哪里,然后才能加密,其實(shí)都一樣不論是加密url里面的query內(nèi)容還是加密body體里面的都一樣。
為了項(xiàng)目數(shù)據(jù)安全性,對(duì)請(qǐng)求體和響應(yīng)體加密,那肯定要知道請(qǐng)求體或響應(yīng)體在哪里,然后才能加密,其實(shí)都一樣不論是加密url里面的query內(nèi)容還是加密body體里面的都一樣。
對(duì)數(shù)據(jù)哪里進(jìn)行加密和解密
目前對(duì)數(shù)據(jù)返回的data進(jìn)行加解密。那么如何做數(shù)據(jù)加密呢?目前項(xiàng)目中采用RC4加密和解密數(shù)據(jù)。
目前對(duì)數(shù)據(jù)返回的data進(jìn)行加解密。那么如何做數(shù)據(jù)加密呢?目前項(xiàng)目中采用RC4加密和解密數(shù)據(jù)。
抓取到的內(nèi)容為亂碼
有的APP為了防止抓取,在返回的內(nèi)容上做了層加密,所以從Charles上看到的內(nèi)容是亂碼。這種情況下也只能反編譯APP,研究其加密解密算法進(jìn)行解密。難度極大!
有的APP為了防止抓取,在返回的內(nèi)容上做了層加密,所以從Charles上看到的內(nèi)容是亂碼。這種情況下也只能反編譯APP,研究其加密解密算法進(jìn)行解密。難度極大!
基于Xposed(或者)黑科技破解證書校驗(yàn)
這種方式可以檢查是否有Xposed環(huán)境,大概的思路是使用ClassLoader去加載固定包名的xp類,或者手動(dòng)拋出異常然后捕獲去判斷是否包含Xposed環(huán)境。
基于VirtualApp掛載App突破證書訪問(wèn)權(quán)限
這個(gè)VirtualApp相當(dāng)于是一個(gè)宿主App(可以把它想像成桌面級(jí)App),它突破證書校驗(yàn)。然后再實(shí)現(xiàn)掛載App的抓包。判斷是否是雙開環(huán)境!
基于Xposed(或者)黑科技破解證書校驗(yàn)
這種方式可以檢查是否有Xposed環(huán)境,大概的思路是使用ClassLoader去加載固定包名的xp類,或者手動(dòng)拋出異常然后捕獲去判斷是否包含Xposed環(huán)境。
這種方式可以檢查是否有Xposed環(huán)境,大概的思路是使用ClassLoader去加載固定包名的xp類,或者手動(dòng)拋出異常然后捕獲去判斷是否包含Xposed環(huán)境。
基于VirtualApp掛載App突破證書訪問(wèn)權(quán)限
這個(gè)VirtualApp相當(dāng)于是一個(gè)宿主App(可以把它想像成桌面級(jí)App),它突破證書校驗(yàn)。然后再實(shí)現(xiàn)掛載App的抓包。判斷是否是雙開環(huán)境!
4.防抓包實(shí)踐開發(fā)
4.1 App安全配置
添加配置文件:
android:networkSecurityConfig="@xml/network_security_config"
配置 networkSecurityConfig抓包說(shuō)明:
中間人代理之所有能夠獲取到加密密鑰就是因?yàn)槲覀兪謾C(jī)上安裝并信任了其代理證書,這類證書安裝后都會(huì)被歸結(jié)到用戶證書一類,而不是系統(tǒng)證書。
那我們可以選擇只信任系統(tǒng)內(nèi)置的系統(tǒng)證書,而屏蔽掉用戶證書(Android7.0以后就默認(rèn)是只信任系統(tǒng)證書了),就可以防止數(shù)據(jù)被解密了。
實(shí)現(xiàn)App防抓包安全配置方式有兩種:
一種是Android官方提供的網(wǎng)絡(luò)安全配置;另一種也可以通過(guò)設(shè)置網(wǎng)絡(luò)框架實(shí)現(xiàn)(以okhttp為例)。
第一種:具體可以看清單配置文件,相當(dāng)于 base-config標(biāo)簽下去掉 這組標(biāo)簽。
第二種:需要給 okhttpClient配置 X509TrustManager 來(lái)監(jiān)聽校驗(yàn)服務(wù)端證書有效性。遍歷設(shè)備上信任的證書,通過(guò)證書別名將用戶證書(別名中含有user字段)過(guò)濾掉,只將系統(tǒng)證書添加到驗(yàn)證列表中。
該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:
優(yōu)點(diǎn): network_security_config配置簡(jiǎn)單,對(duì)整個(gè)app網(wǎng)絡(luò)生效,無(wú)需修改代碼;代碼實(shí)現(xiàn)對(duì)通過(guò)該網(wǎng)絡(luò)框架請(qǐng)求的生效,能兼容7.0以前系統(tǒng)。
缺陷: network_security_config配置方式,7.0以前的系統(tǒng)配置不生效,依然可以通過(guò)代理工具進(jìn)行抓包。okhttp配置的方式只能對(duì)使用該網(wǎng)絡(luò)框架進(jìn)行數(shù)據(jù)傳輸?shù)慕涌谏В⒉荒軐?duì)整個(gè)app生效。
破解:將手機(jī)進(jìn)行root,然后將代理證書放置到系統(tǒng)證書列表內(nèi),就可以繞過(guò)代碼或配置檢查了。
添加配置文件:
android:networkSecurityConfig="@xml/network_security_config"
android:networkSecurityConfig="@xml/network_security_config"
配置 networkSecurityConfig抓包說(shuō)明:
中間人代理之所有能夠獲取到加密密鑰就是因?yàn)槲覀兪謾C(jī)上安裝并信任了其代理證書,這類證書安裝后都會(huì)被歸結(jié)到用戶證書一類,而不是系統(tǒng)證書。
那我們可以選擇只信任系統(tǒng)內(nèi)置的系統(tǒng)證書,而屏蔽掉用戶證書(Android7.0以后就默認(rèn)是只信任系統(tǒng)證書了),就可以防止數(shù)據(jù)被解密了。
中間人代理之所有能夠獲取到加密密鑰就是因?yàn)槲覀兪謾C(jī)上安裝并信任了其代理證書,這類證書安裝后都會(huì)被歸結(jié)到用戶證書一類,而不是系統(tǒng)證書。
那我們可以選擇只信任系統(tǒng)內(nèi)置的系統(tǒng)證書,而屏蔽掉用戶證書(Android7.0以后就默認(rèn)是只信任系統(tǒng)證書了),就可以防止數(shù)據(jù)被解密了。
實(shí)現(xiàn)App防抓包安全配置方式有兩種:
一種是Android官方提供的網(wǎng)絡(luò)安全配置;另一種也可以通過(guò)設(shè)置網(wǎng)絡(luò)框架實(shí)現(xiàn)(以okhttp為例)。
第一種:具體可以看清單配置文件,相當(dāng)于 base-config標(biāo)簽下去掉 這組標(biāo)簽。
第二種:需要給 okhttpClient配置 X509TrustManager 來(lái)監(jiān)聽校驗(yàn)服務(wù)端證書有效性。遍歷設(shè)備上信任的證書,通過(guò)證書別名將用戶證書(別名中含有user字段)過(guò)濾掉,只將系統(tǒng)證書添加到驗(yàn)證列表中。
一種是Android官方提供的網(wǎng)絡(luò)安全配置;另一種也可以通過(guò)設(shè)置網(wǎng)絡(luò)框架實(shí)現(xiàn)(以okhttp為例)。
第一種:具體可以看清單配置文件,相當(dāng)于 base-config標(biāo)簽下去掉 這組標(biāo)簽。
第二種:需要給 okhttpClient配置 X509TrustManager 來(lái)監(jiān)聽校驗(yàn)服務(wù)端證書有效性。遍歷設(shè)備上信任的證書,通過(guò)證書別名將用戶證書(別名中含有user字段)過(guò)濾掉,只將系統(tǒng)證書添加到驗(yàn)證列表中。
該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:
優(yōu)點(diǎn): network_security_config配置簡(jiǎn)單,對(duì)整個(gè)app網(wǎng)絡(luò)生效,無(wú)需修改代碼;代碼實(shí)現(xiàn)對(duì)通過(guò)該網(wǎng)絡(luò)框架請(qǐng)求的生效,能兼容7.0以前系統(tǒng)。
缺陷: network_security_config配置方式,7.0以前的系統(tǒng)配置不生效,依然可以通過(guò)代理工具進(jìn)行抓包。okhttp配置的方式只能對(duì)使用該網(wǎng)絡(luò)框架進(jìn)行數(shù)據(jù)傳輸?shù)慕涌谏В⒉荒軐?duì)整個(gè)app生效。
破解:將手機(jī)進(jìn)行root,然后將代理證書放置到系統(tǒng)證書列表內(nèi),就可以繞過(guò)代碼或配置檢查了。
優(yōu)點(diǎn): network_security_config配置簡(jiǎn)單,對(duì)整個(gè)app網(wǎng)絡(luò)生效,無(wú)需修改代碼;代碼實(shí)現(xiàn)對(duì)通過(guò)該網(wǎng)絡(luò)框架請(qǐng)求的生效,能兼容7.0以前系統(tǒng)。
缺陷: network_security_config配置方式,7.0以前的系統(tǒng)配置不生效,依然可以通過(guò)代理工具進(jìn)行抓包。okhttp配置的方式只能對(duì)使用該網(wǎng)絡(luò)框架進(jìn)行數(shù)據(jù)傳輸?shù)慕涌谏В⒉荒軐?duì)整個(gè)app生效。
破解:將手機(jī)進(jìn)行root,然后將代理證書放置到系統(tǒng)證書列表內(nèi),就可以繞過(guò)代碼或配置檢查了。
charles 和 fiddler 都使用代理來(lái)進(jìn)行抓包,對(duì)網(wǎng)絡(luò)客戶端使用無(wú)代理模式即可防止抓包,如:
OkHttpClient.Builder
.proxy( Proxy.NO_PROXY)
.build
no_proxy實(shí)際上就是type屬性為direct的一個(gè)proxy對(duì)象,這個(gè)type有三種:
direct,http,socks。這樣因?yàn)槭侵边B,所以不走代理。所以charles等工具就抓不到包了,這樣一定程度上保證了數(shù)據(jù)的安全,這種方式只是通過(guò)代理抓不到包。
通常情況下上述的辦法有用,但是無(wú)法防住使用 VPN 導(dǎo)流進(jìn)行的抓包:
使用VPN抓包的原理是,先將手機(jī)請(qǐng)求導(dǎo)到VPN,再對(duì)VPN的網(wǎng)絡(luò)進(jìn)行Charles的代理,繞過(guò)了對(duì)App的代理。
該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:
優(yōu)點(diǎn):實(shí)現(xiàn)簡(jiǎn)單方便,無(wú)系統(tǒng)版本兼容問(wèn)題。
缺陷:該方案比較粗暴,將一切代理都切斷了,對(duì)于有合理訴求需要使用網(wǎng)絡(luò)代理的場(chǎng)景無(wú)法滿足。
破解:使用ProxyDroid全局代理工具通過(guò)iptables對(duì)請(qǐng)求進(jìn)行強(qiáng)制轉(zhuǎn)發(fā),可以有效繞過(guò)代理檢測(cè)。
no_proxy實(shí)際上就是type屬性為direct的一個(gè)proxy對(duì)象,這個(gè)type有三種:
direct,http,socks。這樣因?yàn)槭侵边B,所以不走代理。所以charles等工具就抓不到包了,這樣一定程度上保證了數(shù)據(jù)的安全,這種方式只是通過(guò)代理抓不到包。
direct,http,socks。這樣因?yàn)槭侵边B,所以不走代理。所以charles等工具就抓不到包了,這樣一定程度上保證了數(shù)據(jù)的安全,這種方式只是通過(guò)代理抓不到包。
通常情況下上述的辦法有用,但是無(wú)法防住使用 VPN 導(dǎo)流進(jìn)行的抓包:
使用VPN抓包的原理是,先將手機(jī)請(qǐng)求導(dǎo)到VPN,再對(duì)VPN的網(wǎng)絡(luò)進(jìn)行Charles的代理,繞過(guò)了對(duì)App的代理。
使用VPN抓包的原理是,先將手機(jī)請(qǐng)求導(dǎo)到VPN,再對(duì)VPN的網(wǎng)絡(luò)進(jìn)行Charles的代理,繞過(guò)了對(duì)App的代理。
該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:
優(yōu)點(diǎn):實(shí)現(xiàn)簡(jiǎn)單方便,無(wú)系統(tǒng)版本兼容問(wèn)題。
缺陷:該方案比較粗暴,將一切代理都切斷了,對(duì)于有合理訴求需要使用網(wǎng)絡(luò)代理的場(chǎng)景無(wú)法滿足。
破解:使用ProxyDroid全局代理工具通過(guò)iptables對(duì)請(qǐng)求進(jìn)行強(qiáng)制轉(zhuǎn)發(fā),可以有效繞過(guò)代理檢測(cè)。
優(yōu)點(diǎn):實(shí)現(xiàn)簡(jiǎn)單方便,無(wú)系統(tǒng)版本兼容問(wèn)題。
缺陷:該方案比較粗暴,將一切代理都切斷了,對(duì)于有合理訴求需要使用網(wǎng)絡(luò)代理的場(chǎng)景無(wú)法滿足。
破解:使用ProxyDroid全局代理工具通過(guò)iptables對(duì)請(qǐng)求進(jìn)行強(qiáng)制轉(zhuǎn)發(fā),可以有效繞過(guò)代理檢測(cè)。
下載服務(wù)器端公鑰證書:
為了防止上面方案可能導(dǎo)致的“中間人攻擊”,可以下載服務(wù)器端公鑰證書,然后將公鑰證書編譯到Android應(yīng)用中一般在assets文件夾保存,由應(yīng)用在交互過(guò)程中去驗(yàn)證證書的合法性。
如何設(shè)置證書校驗(yàn):
通過(guò)OkHttp的API方法 sslSocketFactory(sslSocketFactory,trustManager) 設(shè)置SSL證書校驗(yàn)。
如何設(shè)置域名合法性校驗(yàn):
通過(guò)OkHttp的API方法 hostnameVerifier(hostnameVerifier)設(shè)置域名合法性校驗(yàn)。
證書校驗(yàn)的原理分析
按CA證書去驗(yàn)證的,若不是CA可信任的證書,則無(wú)法通過(guò)驗(yàn)證。
單向認(rèn)證流程圖:
該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:
優(yōu)點(diǎn):安全性比較高,單向認(rèn)證校驗(yàn)證書在代碼中是方便的,安全性相對(duì)較高。
缺陷:CA證書存在過(guò)期的問(wèn)題,證書升級(jí)。
破解:證書鎖定破解比較復(fù)雜,比如老牌的JustTrustMe插件,通過(guò)hook各網(wǎng)絡(luò)框架的證書校驗(yàn)方法,替換原有邏輯,使校驗(yàn)失效。
下載服務(wù)器端公鑰證書:
為了防止上面方案可能導(dǎo)致的“中間人攻擊”,可以下載服務(wù)器端公鑰證書,然后將公鑰證書編譯到Android應(yīng)用中一般在assets文件夾保存,由應(yīng)用在交互過(guò)程中去驗(yàn)證證書的合法性。
為了防止上面方案可能導(dǎo)致的“中間人攻擊”,可以下載服務(wù)器端公鑰證書,然后將公鑰證書編譯到Android應(yīng)用中一般在assets文件夾保存,由應(yīng)用在交互過(guò)程中去驗(yàn)證證書的合法性。
如何設(shè)置證書校驗(yàn):
通過(guò)OkHttp的API方法 sslSocketFactory(sslSocketFactory,trustManager) 設(shè)置SSL證書校驗(yàn)。
通過(guò)OkHttp的API方法 sslSocketFactory(sslSocketFactory,trustManager) 設(shè)置SSL證書校驗(yàn)。
如何設(shè)置域名合法性校驗(yàn):
通過(guò)OkHttp的API方法 hostnameVerifier(hostnameVerifier)設(shè)置域名合法性校驗(yàn)。
通過(guò)OkHttp的API方法 hostnameVerifier(hostnameVerifier)設(shè)置域名合法性校驗(yàn)。
證書校驗(yàn)的原理分析
按CA證書去驗(yàn)證的,若不是CA可信任的證書,則無(wú)法通過(guò)驗(yàn)證。
按CA證書去驗(yàn)證的,若不是CA可信任的證書,則無(wú)法通過(guò)驗(yàn)證。
單向認(rèn)證流程圖:
該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:
優(yōu)點(diǎn):安全性比較高,單向認(rèn)證校驗(yàn)證書在代碼中是方便的,安全性相對(duì)較高。
缺陷:CA證書存在過(guò)期的問(wèn)題,證書升級(jí)。
破解:證書鎖定破解比較復(fù)雜,比如老牌的JustTrustMe插件,通過(guò)hook各網(wǎng)絡(luò)框架的證書校驗(yàn)方法,替換原有邏輯,使校驗(yàn)失效。
優(yōu)點(diǎn):安全性比較高,單向認(rèn)證校驗(yàn)證書在代碼中是方便的,安全性相對(duì)較高。
缺陷:CA證書存在過(guò)期的問(wèn)題,證書升級(jí)。
破解:證書鎖定破解比較復(fù)雜,比如老牌的JustTrustMe插件,通過(guò)hook各網(wǎng)絡(luò)框架的證書校驗(yàn)方法,替換原有邏輯,使校驗(yàn)失效。
什么叫做雙向認(rèn)證:
SSL/TLS 協(xié)議提供了雙向認(rèn)證的功能,即除了 Client 需要校驗(yàn) Server 的真實(shí)性,Server 也需要校驗(yàn) Client 的真實(shí)性。
雙向認(rèn)證的原理:
雙向認(rèn)證需要 Server 支持,Client 必須內(nèi)置一套公鑰證書 + 私鑰。在 SSL/TLS 握手過(guò)程中,Server 端會(huì)向 Client 端請(qǐng)求證書,Client 端必須將內(nèi)置的公鑰證書發(fā)給 Server,Server 驗(yàn)證公鑰證書的真實(shí)性。
用于雙向認(rèn)證的公鑰證書和私鑰代表了 Client 端身份,所以其是隱秘的,一般都是用 .p12 或者 .bks 文件 + 密鑰進(jìn)行存放。
代碼層面如何做雙向認(rèn)證:
雙向校驗(yàn)就是自定義生成客戶端證書,保存在服務(wù)端和客戶端,當(dāng)客戶端發(fā)起請(qǐng)求時(shí)在服務(wù)端也校驗(yàn)客戶端的證書合法性,如果不是可信任的客戶端發(fā)送的請(qǐng)求,則拒絕響應(yīng)。
服務(wù)端根據(jù)自身使用語(yǔ)言和網(wǎng)絡(luò)框架配置相應(yīng)證書校驗(yàn)機(jī)制即可。
雙向認(rèn)證流程圖:
該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:
優(yōu)點(diǎn):安全性非常高,使用三方工具不易破解。
缺陷:服務(wù)端需要存儲(chǔ)客戶端證書,一般服務(wù)端會(huì)對(duì)應(yīng)多個(gè)客戶端,就需要分別存儲(chǔ)和校驗(yàn)客戶端證書,增加校驗(yàn)成本,降低響應(yīng)速度。該方案比較適合對(duì)安全等級(jí)要求比較高的業(yè)務(wù)(如金融類業(yè)務(wù))。
破解:由于在服務(wù)端也做校驗(yàn),在服務(wù)端安全的情況下很難被攻破。
什么叫做雙向認(rèn)證:
SSL/TLS 協(xié)議提供了雙向認(rèn)證的功能,即除了 Client 需要校驗(yàn) Server 的真實(shí)性,Server 也需要校驗(yàn) Client 的真實(shí)性。
SSL/TLS 協(xié)議提供了雙向認(rèn)證的功能,即除了 Client 需要校驗(yàn) Server 的真實(shí)性,Server 也需要校驗(yàn) Client 的真實(shí)性。
雙向認(rèn)證的原理:
雙向認(rèn)證需要 Server 支持,Client 必須內(nèi)置一套公鑰證書 + 私鑰。在 SSL/TLS 握手過(guò)程中,Server 端會(huì)向 Client 端請(qǐng)求證書,Client 端必須將內(nèi)置的公鑰證書發(fā)給 Server,Server 驗(yàn)證公鑰證書的真實(shí)性。
用于雙向認(rèn)證的公鑰證書和私鑰代表了 Client 端身份,所以其是隱秘的,一般都是用 .p12 或者 .bks 文件 + 密鑰進(jìn)行存放。
雙向認(rèn)證需要 Server 支持,Client 必須內(nèi)置一套公鑰證書 + 私鑰。在 SSL/TLS 握手過(guò)程中,Server 端會(huì)向 Client 端請(qǐng)求證書,Client 端必須將內(nèi)置的公鑰證書發(fā)給 Server,Server 驗(yàn)證公鑰證書的真實(shí)性。
用于雙向認(rèn)證的公鑰證書和私鑰代表了 Client 端身份,所以其是隱秘的,一般都是用 .p12 或者 .bks 文件 + 密鑰進(jìn)行存放。
代碼層面如何做雙向認(rèn)證:
雙向校驗(yàn)就是自定義生成客戶端證書,保存在服務(wù)端和客戶端,當(dāng)客戶端發(fā)起請(qǐng)求時(shí)在服務(wù)端也校驗(yàn)客戶端的證書合法性,如果不是可信任的客戶端發(fā)送的請(qǐng)求,則拒絕響應(yīng)。
服務(wù)端根據(jù)自身使用語(yǔ)言和網(wǎng)絡(luò)框架配置相應(yīng)證書校驗(yàn)機(jī)制即可。
雙向校驗(yàn)就是自定義生成客戶端證書,保存在服務(wù)端和客戶端,當(dāng)客戶端發(fā)起請(qǐng)求時(shí)在服務(wù)端也校驗(yàn)客戶端的證書合法性,如果不是可信任的客戶端發(fā)送的請(qǐng)求,則拒絕響應(yīng)。
服務(wù)端根據(jù)自身使用語(yǔ)言和網(wǎng)絡(luò)框架配置相應(yīng)證書校驗(yàn)機(jī)制即可。
雙向認(rèn)證流程圖:
該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:
優(yōu)點(diǎn):安全性非常高,使用三方工具不易破解。
缺陷:服務(wù)端需要存儲(chǔ)客戶端證書,一般服務(wù)端會(huì)對(duì)應(yīng)多個(gè)客戶端,就需要分別存儲(chǔ)和校驗(yàn)客戶端證書,增加校驗(yàn)成本,降低響應(yīng)速度。該方案比較適合對(duì)安全等級(jí)要求比較高的業(yè)務(wù)(如金融類業(yè)務(wù))。
破解:由于在服務(wù)端也做校驗(yàn),在服務(wù)端安全的情況下很難被攻破。
優(yōu)點(diǎn):安全性非常高,使用三方工具不易破解。
缺陷:服務(wù)端需要存儲(chǔ)客戶端證書,一般服務(wù)端會(huì)對(duì)應(yīng)多個(gè)客戶端,就需要分別存儲(chǔ)和校驗(yàn)客戶端證書,增加校驗(yàn)成本,降低響應(yīng)速度。該方案比較適合對(duì)安全等級(jí)要求比較高的業(yè)務(wù)(如金融類業(yè)務(wù))。
破解:由于在服務(wù)端也做校驗(yàn),在服務(wù)端安全的情況下很難被攻破。
Xposed是一個(gè)牛逼的黑科技:
Xposed + JustTrustMe 可以破解繞過(guò)校驗(yàn)CA證書。那么這樣CA證書的校驗(yàn)就形同虛設(shè)了,對(duì)App的危險(xiǎn)性也很大。
App多開運(yùn)行在多個(gè)環(huán)境上:
多開App的原理類似,都是以新進(jìn)程運(yùn)行被多開的App,并hook各類系統(tǒng)函數(shù),使被多開的App認(rèn)為自己是一個(gè)正常的App在運(yùn)行。
一種是從多開App中直接加載被多開的App,如平行空間、VirtualApp等,另一種是讓用戶新安裝一個(gè)App,但這個(gè)App本質(zhì)上就是一個(gè)殼,用來(lái)加載被多開的App。
VirtualApp是一個(gè)牛逼的黑科技:
它破壞了Android 系統(tǒng)本身的隔離措施,可以進(jìn)行免root hook和其他黑科技操作,你可以用這個(gè)做很多在原來(lái)APP里做不到事情,于此同時(shí)Virtual App的安全威脅也不言而喻。
如何判斷是否具有Xposed環(huán)境:
第一種方式:獲取當(dāng)前設(shè)備所有運(yùn)行的APP,根據(jù)安裝包名對(duì)應(yīng)用進(jìn)行檢測(cè)判斷是否有Xposed環(huán)境。
第二種方式:通過(guò)自造異常來(lái)檢測(cè)堆棧信息,判斷異常堆棧中是否包含Xposed等字符串。
第三種方式:通過(guò) ClassLoader檢查是否已經(jīng)加載了 XposedBridge類和 XposedHelpers類來(lái)檢測(cè)。
第四種方式:獲取DEX加載列表,判斷其中是否包含 XposedBridge.jar等字符串。
第五種方式:檢測(cè)Xposed相關(guān)文件,通過(guò)讀取 /proc/self/maps文件,查找Xposed相關(guān)jar或者so文件來(lái)檢測(cè)。
如何判斷是否是雙開環(huán)境:
第一種方式:通過(guò)檢測(cè)app私有目錄,多開后的應(yīng)用路徑會(huì)包含多開軟件的包名。還有一種思路遍歷應(yīng)用列表如果出現(xiàn)同樣的包名,則被認(rèn)為雙開了。
第二種方式:如果同一uid下有兩個(gè)進(jìn)程對(duì)應(yīng)的包名,在"/data/data"下有兩個(gè)私有目錄,則該應(yīng)用被多開了。
判斷了具有xposed或者多開環(huán)境怎么處理App:
目前使用VirtualApp掛載,或者Xposed黑科技去hook,前期可以先用埋點(diǎn)統(tǒng)計(jì)。測(cè)試學(xué)而思App發(fā)現(xiàn)掛載在VA上是推出App。
Xposed是一個(gè)牛逼的黑科技:
Xposed + JustTrustMe 可以破解繞過(guò)校驗(yàn)CA證書。那么這樣CA證書的校驗(yàn)就形同虛設(shè)了,對(duì)App的危險(xiǎn)性也很大。
Xposed + JustTrustMe 可以破解繞過(guò)校驗(yàn)CA證書。那么這樣CA證書的校驗(yàn)就形同虛設(shè)了,對(duì)App的危險(xiǎn)性也很大。
App多開運(yùn)行在多個(gè)環(huán)境上:
多開App的原理類似,都是以新進(jìn)程運(yùn)行被多開的App,并hook各類系統(tǒng)函數(shù),使被多開的App認(rèn)為自己是一個(gè)正常的App在運(yùn)行。
一種是從多開App中直接加載被多開的App,如平行空間、VirtualApp等,另一種是讓用戶新安裝一個(gè)App,但這個(gè)App本質(zhì)上就是一個(gè)殼,用來(lái)加載被多開的App。
多開App的原理類似,都是以新進(jìn)程運(yùn)行被多開的App,并hook各類系統(tǒng)函數(shù),使被多開的App認(rèn)為自己是一個(gè)正常的App在運(yùn)行。
一種是從多開App中直接加載被多開的App,如平行空間、VirtualApp等,另一種是讓用戶新安裝一個(gè)App,但這個(gè)App本質(zhì)上就是一個(gè)殼,用來(lái)加載被多開的App。
VirtualApp是一個(gè)牛逼的黑科技:
它破壞了Android 系統(tǒng)本身的隔離措施,可以進(jìn)行免root hook和其他黑科技操作,你可以用這個(gè)做很多在原來(lái)APP里做不到事情,于此同時(shí)Virtual App的安全威脅也不言而喻。
它破壞了Android 系統(tǒng)本身的隔離措施,可以進(jìn)行免root hook和其他黑科技操作,你可以用這個(gè)做很多在原來(lái)APP里做不到事情,于此同時(shí)Virtual App的安全威脅也不言而喻。
如何判斷是否具有Xposed環(huán)境:
第一種方式:獲取當(dāng)前設(shè)備所有運(yùn)行的APP,根據(jù)安裝包名對(duì)應(yīng)用進(jìn)行檢測(cè)判斷是否有Xposed環(huán)境。
第二種方式:通過(guò)自造異常來(lái)檢測(cè)堆棧信息,判斷異常堆棧中是否包含Xposed等字符串。
第三種方式:通過(guò) ClassLoader檢查是否已經(jīng)加載了 XposedBridge類和 XposedHelpers類來(lái)檢測(cè)。
第四種方式:獲取DEX加載列表,判斷其中是否包含 XposedBridge.jar等字符串。
第五種方式:檢測(cè)Xposed相關(guān)文件,通過(guò)讀取 /proc/self/maps文件,查找Xposed相關(guān)jar或者so文件來(lái)檢測(cè)。
第一種方式:獲取當(dāng)前設(shè)備所有運(yùn)行的APP,根據(jù)安裝包名對(duì)應(yīng)用進(jìn)行檢測(cè)判斷是否有Xposed環(huán)境。
第二種方式:通過(guò)自造異常來(lái)檢測(cè)堆棧信息,判斷異常堆棧中是否包含Xposed等字符串。
第三種方式:通過(guò) ClassLoader檢查是否已經(jīng)加載了 XposedBridge類和 XposedHelpers類來(lái)檢測(cè)。
第四種方式:獲取DEX加載列表,判斷其中是否包含 XposedBridge.jar等字符串。
第五種方式:檢測(cè)Xposed相關(guān)文件,通過(guò)讀取 /proc/self/maps文件,查找Xposed相關(guān)jar或者so文件來(lái)檢測(cè)。
如何判斷是否是雙開環(huán)境:
第一種方式:通過(guò)檢測(cè)app私有目錄,多開后的應(yīng)用路徑會(huì)包含多開軟件的包名。還有一種思路遍歷應(yīng)用列表如果出現(xiàn)同樣的包名,則被認(rèn)為雙開了。
第二種方式:如果同一uid下有兩個(gè)進(jìn)程對(duì)應(yīng)的包名,在"/data/data"下有兩個(gè)私有目錄,則該應(yīng)用被多開了。
第一種方式:通過(guò)檢測(cè)app私有目錄,多開后的應(yīng)用路徑會(huì)包含多開軟件的包名。還有一種思路遍歷應(yīng)用列表如果出現(xiàn)同樣的包名,則被認(rèn)為雙開了。
第二種方式:如果同一uid下有兩個(gè)進(jìn)程對(duì)應(yīng)的包名,在"/data/data"下有兩個(gè)私有目錄,則該應(yīng)用被多開了。
判斷了具有xposed或者多開環(huán)境怎么處理App:
目前使用VirtualApp掛載,或者Xposed黑科技去hook,前期可以先用埋點(diǎn)統(tǒng)計(jì)。測(cè)試學(xué)而思App發(fā)現(xiàn)掛載在VA上是推出App。
目前使用VirtualApp掛載,或者Xposed黑科技去hook,前期可以先用埋點(diǎn)統(tǒng)計(jì)。測(cè)試學(xué)而思App發(fā)現(xiàn)掛載在VA上是推出App。
針對(duì)數(shù)據(jù)加解密入口:
目前在網(wǎng)絡(luò)請(qǐng)求類里添加攔截器,然后在攔截器中處理request請(qǐng)求和response響應(yīng)數(shù)據(jù)的加密和解密操作。
主要是加密什么數(shù)據(jù):
在request請(qǐng)求數(shù)據(jù)階段,如果是get請(qǐng)求加密url數(shù)據(jù),如果是post請(qǐng)求則加密url數(shù)據(jù)和requestBody數(shù)據(jù)。
在response響應(yīng)數(shù)據(jù)階段。
如何進(jìn)行加密:發(fā)起請(qǐng)求(加密)
第一步:獲取請(qǐng)求的數(shù)據(jù)。主要是獲取請(qǐng)求url和requestBody,這一塊需要對(duì)數(shù)據(jù)一塊處理。
第二步:對(duì)請(qǐng)求數(shù)據(jù)進(jìn)行加密。采用RC4加密數(shù)據(jù)。
第三步:根據(jù)不同的請(qǐng)求方式構(gòu)造新的request。使用 key 和 result 生成新的 RequestBody 發(fā)起網(wǎng)絡(luò)請(qǐng)求。
如何進(jìn)行解密:接收返回(解密)
第一步:常規(guī)解析得到 result ,然后使用RC4工具,傳入key去解密數(shù)據(jù)得到解密后的字符串。
第二步:將解密的字符串組裝成ResponseBody數(shù)據(jù)傳入到body對(duì)象中。
第三步:利用response對(duì)象去構(gòu)造新的response,然后最后返回給App。
針對(duì)數(shù)據(jù)加解密入口:
目前在網(wǎng)絡(luò)請(qǐng)求類里添加攔截器,然后在攔截器中處理request請(qǐng)求和response響應(yīng)數(shù)據(jù)的加密和解密操作。
目前在網(wǎng)絡(luò)請(qǐng)求類里添加攔截器,然后在攔截器中處理request請(qǐng)求和response響應(yīng)數(shù)據(jù)的加密和解密操作。
主要是加密什么數(shù)據(jù):
在request請(qǐng)求數(shù)據(jù)階段,如果是get請(qǐng)求加密url數(shù)據(jù),如果是post請(qǐng)求則加密url數(shù)據(jù)和requestBody數(shù)據(jù)。
在response響應(yīng)數(shù)據(jù)階段。
在request請(qǐng)求數(shù)據(jù)階段,如果是get請(qǐng)求加密url數(shù)據(jù),如果是post請(qǐng)求則加密url數(shù)據(jù)和requestBody數(shù)據(jù)。
在response響應(yīng)數(shù)據(jù)階段。
如何進(jìn)行加密:發(fā)起請(qǐng)求(加密)
第一步:獲取請(qǐng)求的數(shù)據(jù)。主要是獲取請(qǐng)求url和requestBody,這一塊需要對(duì)數(shù)據(jù)一塊處理。
第二步:對(duì)請(qǐng)求數(shù)據(jù)進(jìn)行加密。采用RC4加密數(shù)據(jù)。
第三步:根據(jù)不同的請(qǐng)求方式構(gòu)造新的request。使用 key 和 result 生成新的 RequestBody 發(fā)起網(wǎng)絡(luò)請(qǐng)求。
第一步:獲取請(qǐng)求的數(shù)據(jù)。主要是獲取請(qǐng)求url和requestBody,這一塊需要對(duì)數(shù)據(jù)一塊處理。
第二步:對(duì)請(qǐng)求數(shù)據(jù)進(jìn)行加密。采用RC4加密數(shù)據(jù)。
第三步:根據(jù)不同的請(qǐng)求方式構(gòu)造新的request。使用 key 和 result 生成新的 RequestBody 發(fā)起網(wǎng)絡(luò)請(qǐng)求。
如何進(jìn)行解密:接收返回(解密)
第一步:常規(guī)解析得到 result ,然后使用RC4工具,傳入key去解密數(shù)據(jù)得到解密后的字符串。
第二步:將解密的字符串組裝成ResponseBody數(shù)據(jù)傳入到body對(duì)象中。
第三步:利用response對(duì)象去構(gòu)造新的response,然后最后返回給App。
第一步:常規(guī)解析得到 result ,然后使用RC4工具,傳入key去解密數(shù)據(jù)得到解密后的字符串。
第二步:將解密的字符串組裝成ResponseBody數(shù)據(jù)傳入到body對(duì)象中。
第三步:利用response對(duì)象去構(gòu)造新的response,然后最后返回給App。
證書鎖定是Google官方比較推薦的一種校驗(yàn)方式:
原理是在客戶端中預(yù)先設(shè)置好證書信息,握手時(shí)與服務(wù)端返回的證書進(jìn)行比較,以確保證書的真實(shí)性和有效性。
如何實(shí)現(xiàn)證書鎖定:
有兩種實(shí)現(xiàn)方式:一種通過(guò)network_security_config.xml配置,另一種通過(guò)代碼設(shè)置;
//第一種方式:配置文件
api.zuoyebang.cn
38JpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhK90=
9k1a0LRMXouZHRC8Ei+ 4PyuldPDcf3UKgO/ 04cDM90K=
//第二種方式:代碼設(shè)置
funsslPinning: OkHttpClient {
valbuilder = OkHttpClient.Builder
valpinners = CertificatePinner.Builder
.add( "api.zuoyebang.cn", "sha256//89KpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRh00L=")
.add( "api.zuoyebang.com", "sha256//a8za0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1o=09")
.build
builder.apply {
certificatePinner(pinners)
}
returnbuilder.build
}
該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:
優(yōu)點(diǎn):安全性高,配置方式也比較簡(jiǎn)單,并能實(shí)現(xiàn)動(dòng)態(tài)更新配置。
缺陷:網(wǎng)絡(luò)安全配置無(wú)法實(shí)現(xiàn)證書證書的動(dòng)態(tài)更新,另外該配置也受Android系統(tǒng)影響,對(duì)7.0以前的系統(tǒng)不支持。代碼配置相對(duì)靈活些。
破解:證書鎖定破解比較復(fù)雜,比如老牌的JustTrustMe插件,通過(guò)hook各網(wǎng)絡(luò)框架的證書校驗(yàn)方法,替換原有邏輯,使校驗(yàn)失效
證書鎖定是Google官方比較推薦的一種校驗(yàn)方式:
原理是在客戶端中預(yù)先設(shè)置好證書信息,握手時(shí)與服務(wù)端返回的證書進(jìn)行比較,以確保證書的真實(shí)性和有效性。
原理是在客戶端中預(yù)先設(shè)置好證書信息,握手時(shí)與服務(wù)端返回的證書進(jìn)行比較,以確保證書的真實(shí)性和有效性。
如何實(shí)現(xiàn)證書鎖定:
有兩種實(shí)現(xiàn)方式:一種通過(guò)network_security_config.xml配置,另一種通過(guò)代碼設(shè)置;
有兩種實(shí)現(xiàn)方式:一種通過(guò)network_security_config.xml配置,另一種通過(guò)代碼設(shè)置;
//第一種方式:配置文件
api.zuoyebang.cn
38JpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhK90=
9k1a0LRMXouZHRC8Ei+ 4PyuldPDcf3UKgO/ 04cDM90K=
//第二種方式:代碼設(shè)置
funsslPinning: OkHttpClient {
valbuilder = OkHttpClient.Builder
valpinners = CertificatePinner.Builder
.add( "api.zuoyebang.cn", "sha256//89KpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRh00L=")
.add( "api.zuoyebang.com", "sha256//a8za0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1o=09")
.build
builder.apply {
certificatePinner(pinners)
}
returnbuilder.build
}
該方案優(yōu)點(diǎn)和缺點(diǎn)分析說(shuō)明:
優(yōu)點(diǎn):安全性高,配置方式也比較簡(jiǎn)單,并能實(shí)現(xiàn)動(dòng)態(tài)更新配置。
缺陷:網(wǎng)絡(luò)安全配置無(wú)法實(shí)現(xiàn)證書證書的動(dòng)態(tài)更新,另外該配置也受Android系統(tǒng)影響,對(duì)7.0以前的系統(tǒng)不支持。代碼配置相對(duì)靈活些。
破解:證書鎖定破解比較復(fù)雜,比如老牌的JustTrustMe插件,通過(guò)hook各網(wǎng)絡(luò)框架的證書校驗(yàn)方法,替換原有邏輯,使校驗(yàn)失效
優(yōu)點(diǎn):安全性高,配置方式也比較簡(jiǎn)單,并能實(shí)現(xiàn)動(dòng)態(tài)更新配置。
缺陷:網(wǎng)絡(luò)安全配置無(wú)法實(shí)現(xiàn)證書證書的動(dòng)態(tài)更新,另外該配置也受Android系統(tǒng)影響,對(duì)7.0以前的系統(tǒng)不支持。代碼配置相對(duì)靈活些。
破解:證書鎖定破解比較復(fù)雜,比如老牌的JustTrustMe插件,通過(guò)hook各網(wǎng)絡(luò)框架的證書校驗(yàn)方法,替換原有邏輯,使校驗(yàn)失效
先說(shuō)一下背景和問(wèn)題:
api.test.com/getbanner?k… http://api.test.com/getbanner?key1=value1key2=value2key3=value3
這種方式簡(jiǎn)單粗暴,通過(guò)調(diào)用 getbanner方法即可獲取輪播圖列表信息,但是這樣的方式會(huì)存在很嚴(yán)重的安全性問(wèn)題,沒(méi)有進(jìn)行任何的驗(yàn)證,大家都可以通過(guò)這個(gè)方法獲取到數(shù)據(jù),導(dǎo)致產(chǎn)品信息泄露。
在寫開放的API接口時(shí)是如何保證數(shù)據(jù)的安全性的?
請(qǐng)求來(lái)源(身份)是否合法?請(qǐng)求參數(shù)被篡改?請(qǐng)求的唯一性(不可復(fù)制)?
問(wèn)題的解決方案設(shè)想:
解決方案:為了保證數(shù)據(jù)在通信時(shí)的安全性,我們可以采用參數(shù)簽名的方式來(lái)進(jìn)行相關(guān)驗(yàn)證。
最終決定的解決方案:
調(diào)用接口之前需要驗(yàn)證簽名和有效時(shí)間,要生成一個(gè)sign簽名。先拼接-后轉(zhuǎn)碼-再加密-再發(fā)請(qǐng)求!
sign簽名校驗(yàn)實(shí)踐:
需要對(duì)請(qǐng)求參數(shù)進(jìn)行簽名驗(yàn)證,簽名方式如下:key1=value1key2=value2key3=value3secret=yc 。對(duì)這個(gè)字符串進(jìn)行md5一下。
然后被sign后的接口就變成了: api.test.com/getbanner?k… http://api.test.com/getbanner?key1=value1key2=value2key3=value3sign=xxx
為什么在獲取sign的時(shí)候建議使用secret參數(shù)?secret僅作加密使用,添加在參數(shù)中主要是md5,為了保證數(shù)據(jù)安全請(qǐng)不要在請(qǐng)求參數(shù)中使用。
服務(wù)端對(duì)sign校驗(yàn):
這樣請(qǐng)求的時(shí)候就需要合法正確簽名sign才可以獲取數(shù)據(jù)。這樣就解決了身份驗(yàn)證和防止參數(shù)篡改問(wèn)題,如果請(qǐng)求參數(shù)被人拿走,沒(méi)事,他們永遠(yuǎn)也拿不到secret,因?yàn)閟ecret是不傳遞的。再也無(wú)法偽造合法的請(qǐng)求。
如何保證請(qǐng)求的唯一性:
api.test.com/getbanner?k…
通過(guò)stamp時(shí)間戳用來(lái)驗(yàn)證請(qǐng)求是否過(guò)期。這樣就算被人拿走完整的請(qǐng)求鏈接也是無(wú)效的。
Sign簽名安全性分析:
通過(guò)上面的案例,安全的關(guān)鍵在于參與簽名的secret,整個(gè)過(guò)程中secret是不參與通信的,所以只要保證secret不泄露,請(qǐng)求就不會(huì)被偽造。
先說(shuō)一下背景和問(wèn)題:
api.test.com/getbanner?k… http://api.test.com/getbanner?key1=value1key2=value2key3=value3
這種方式簡(jiǎn)單粗暴,通過(guò)調(diào)用 getbanner方法即可獲取輪播圖列表信息,但是這樣的方式會(huì)存在很嚴(yán)重的安全性問(wèn)題,沒(méi)有進(jìn)行任何的驗(yàn)證,大家都可以通過(guò)這個(gè)方法獲取到數(shù)據(jù),導(dǎo)致產(chǎn)品信息泄露。
這種方式簡(jiǎn)單粗暴,通過(guò)調(diào)用 getbanner方法即可獲取輪播圖列表信息,但是這樣的方式會(huì)存在很嚴(yán)重的安全性問(wèn)題,沒(méi)有進(jìn)行任何的驗(yàn)證,大家都可以通過(guò)這個(gè)方法獲取到數(shù)據(jù),導(dǎo)致產(chǎn)品信息泄露。
在寫開放的API接口時(shí)是如何保證數(shù)據(jù)的安全性的?
請(qǐng)求來(lái)源(身份)是否合法?請(qǐng)求參數(shù)被篡改?請(qǐng)求的唯一性(不可復(fù)制)?
請(qǐng)求來(lái)源(身份)是否合法?請(qǐng)求參數(shù)被篡改?請(qǐng)求的唯一性(不可復(fù)制)?
問(wèn)題的解決方案設(shè)想:
解決方案:為了保證數(shù)據(jù)在通信時(shí)的安全性,我們可以采用參數(shù)簽名的方式來(lái)進(jìn)行相關(guān)驗(yàn)證。
解決方案:為了保證數(shù)據(jù)在通信時(shí)的安全性,我們可以采用參數(shù)簽名的方式來(lái)進(jìn)行相關(guān)驗(yàn)證。
最終決定的解決方案:
調(diào)用接口之前需要驗(yàn)證簽名和有效時(shí)間,要生成一個(gè)sign簽名。先拼接-后轉(zhuǎn)碼-再加密-再發(fā)請(qǐng)求!
調(diào)用接口之前需要驗(yàn)證簽名和有效時(shí)間,要生成一個(gè)sign簽名。先拼接-后轉(zhuǎn)碼-再加密-再發(fā)請(qǐng)求!
sign簽名校驗(yàn)實(shí)踐:
需要對(duì)請(qǐng)求參數(shù)進(jìn)行簽名驗(yàn)證,簽名方式如下:key1=value1key2=value2key3=value3secret=yc 。對(duì)這個(gè)字符串進(jìn)行md5一下。
然后被sign后的接口就變成了: api.test.com/getbanner?k… http://api.test.com/getbanner?key1=value1key2=value2key3=value3sign=xxx
為什么在獲取sign的時(shí)候建議使用secret參數(shù)?secret僅作加密使用,添加在參數(shù)中主要是md5,為了保證數(shù)據(jù)安全請(qǐng)不要在請(qǐng)求參數(shù)中使用。
需要對(duì)請(qǐng)求參數(shù)進(jìn)行簽名驗(yàn)證,簽名方式如下:key1=value1key2=value2key3=value3secret=yc 。對(duì)這個(gè)字符串進(jìn)行md5一下。
為什么在獲取sign的時(shí)候建議使用secret參數(shù)?secret僅作加密使用,添加在參數(shù)中主要是md5,為了保證數(shù)據(jù)安全請(qǐng)不要在請(qǐng)求參數(shù)中使用。
服務(wù)端對(duì)sign校驗(yàn):
這樣請(qǐng)求的時(shí)候就需要合法正確簽名sign才可以獲取數(shù)據(jù)。這樣就解決了身份驗(yàn)證和防止參數(shù)篡改問(wèn)題,如果請(qǐng)求參數(shù)被人拿走,沒(méi)事,他們永遠(yuǎn)也拿不到secret,因?yàn)閟ecret是不傳遞的。再也無(wú)法偽造合法的請(qǐng)求。
這樣請(qǐng)求的時(shí)候就需要合法正確簽名sign才可以獲取數(shù)據(jù)。這樣就解決了身份驗(yàn)證和防止參數(shù)篡改問(wèn)題,如果請(qǐng)求參數(shù)被人拿走,沒(méi)事,他們永遠(yuǎn)也拿不到secret,因?yàn)閟ecret是不傳遞的。再也無(wú)法偽造合法的請(qǐng)求。
如何保證請(qǐng)求的唯一性:
api.test.com/getbanner?k…
通過(guò)stamp時(shí)間戳用來(lái)驗(yàn)證請(qǐng)求是否過(guò)期。這樣就算被人拿走完整的請(qǐng)求鏈接也是無(wú)效的。
通過(guò)stamp時(shí)間戳用來(lái)驗(yàn)證請(qǐng)求是否過(guò)期。這樣就算被人拿走完整的請(qǐng)求鏈接也是無(wú)效的。
Sign簽名安全性分析:
通過(guò)上面的案例,安全的關(guān)鍵在于參與簽名的secret,整個(gè)過(guò)程中secret是不參與通信的,所以只要保證secret不泄露,請(qǐng)求就不會(huì)被偽造。
5.架構(gòu)設(shè)計(jì)說(shuō)明
5.1 整體架構(gòu)設(shè)計(jì)
如下所示:
對(duì)于請(qǐng)求和響應(yīng)的數(shù)據(jù)加解密要注意:
在網(wǎng)絡(luò)上交換數(shù)據(jù)(網(wǎng)絡(luò)請(qǐng)求數(shù)據(jù))時(shí),可能會(huì)遇到不可見(jiàn)字符,不同的設(shè)備對(duì)字符的處理方式有一些不同。
Base64對(duì)數(shù)據(jù)內(nèi)容進(jìn)行編碼來(lái)適合傳輸。準(zhǔn)確說(shuō)是把一些二進(jìn)制數(shù)轉(zhuǎn)成普通字符用于網(wǎng)絡(luò)傳輸。統(tǒng)統(tǒng)變成可見(jiàn)字符,這樣出錯(cuò)的可能性就大降低了。
對(duì)于請(qǐng)求和響應(yīng)的數(shù)據(jù)加解密要注意:
在網(wǎng)絡(luò)上交換數(shù)據(jù)(網(wǎng)絡(luò)請(qǐng)求數(shù)據(jù))時(shí),可能會(huì)遇到不可見(jiàn)字符,不同的設(shè)備對(duì)字符的處理方式有一些不同。
Base64對(duì)數(shù)據(jù)內(nèi)容進(jìn)行編碼來(lái)適合傳輸。準(zhǔn)確說(shuō)是把一些二進(jìn)制數(shù)轉(zhuǎn)成普通字符用于網(wǎng)絡(luò)傳輸。統(tǒng)統(tǒng)變成可見(jiàn)字符,這樣出錯(cuò)的可能性就大降低了。
在網(wǎng)絡(luò)上交換數(shù)據(jù)(網(wǎng)絡(luò)請(qǐng)求數(shù)據(jù))時(shí),可能會(huì)遇到不可見(jiàn)字符,不同的設(shè)備對(duì)字符的處理方式有一些不同。
Base64對(duì)數(shù)據(jù)內(nèi)容進(jìn)行編碼來(lái)適合傳輸。準(zhǔn)確說(shuō)是把一些二進(jìn)制數(shù)轉(zhuǎn)成普通字符用于網(wǎng)絡(luò)傳輸。統(tǒng)統(tǒng)變成可見(jiàn)字符,這樣出錯(cuò)的可能性就大降低了。
可以一鍵配置AB測(cè)試開關(guān):
.setMonitorToggle( object: IMonitorToggle {
overridefunisOpen: Boolean{
//todo 是否降級(jí),如果降級(jí),則不使用該功能。留給AB測(cè)試開關(guān)
returnfalse
}
})
5.4 異常設(shè)計(jì)說(shuō)明
base64加密和解密導(dǎo)致錯(cuò)誤問(wèn)題:
Android 有自帶的Base64實(shí)現(xiàn),flag要選 Base64.NO_WRAP,不然末尾會(huì)有換行影響服務(wù)端解碼。導(dǎo)致解碼失敗。
base64加密和解密導(dǎo)致錯(cuò)誤問(wèn)題:
Android 有自帶的Base64實(shí)現(xiàn),flag要選 Base64.NO_WRAP,不然末尾會(huì)有換行影響服務(wù)端解碼。導(dǎo)致解碼失敗。
Android 有自帶的Base64實(shí)現(xiàn),flag要選 Base64.NO_WRAP,不然末尾會(huì)有換行影響服務(wù)端解碼。導(dǎo)致解碼失敗。
關(guān)于初始化配置:
NotCaptureHelper.getInstance.config = CaptureConfig.builder
//設(shè)置debug模式
.setDebug( true)
//設(shè)置是否禁用代理
.setProxy( false)
//設(shè)置是否進(jìn)行數(shù)據(jù)加密和解密,
.setEncrypt( true)
//設(shè)置cer證書路徑
.setCerPath( "")
//設(shè)置是否進(jìn)行CA證書校驗(yàn)
.setCaVerify( false)
//設(shè)置加密和解密key
.setEncryptKey(key)
//設(shè)置參數(shù)
.setReservedQueryParam(OkHttpBuilder.RESERVED_QUERY_PARAM_NAMES)
.setMonitorToggle( object: IMonitorToggle {
overridefunisOpen: Boolean{
//todo 是否降級(jí),如果降級(jí),則不使用該功能。留給AB測(cè)試開關(guān)
returnfalse
}
})
.build
設(shè)置okHttp配置:
NotCaptureHelper.getInstance.setOkHttp( app, okHttpBuilder)
如何設(shè)置自己的加解密方式:
NotCaptureHelper.getInstance.encryptDecryptListener = object: EncryptDecryptListener {
/**
* 外部實(shí)現(xiàn)自定義加密數(shù)據(jù)
*/
overridefunencryptData(key: String, data: String) : String {
LoggerReporter.report( "NotCaptureHelper", "encryptData data : $data" )
valstr = data.encryptWithRC4(key) ?: ""
LoggerReporter.report( "NotCaptureHelper", "encryptData str : $str" )
returnstr
}
/**
* 外部實(shí)現(xiàn)自定義解密數(shù)據(jù)
*/
overridefundecryptData(key: String, data: String) : String {
LoggerReporter.report( "NotCaptureHelper", "decryptData data : $data" )
valstr = data.decryptWithRC4(key) ?: ""
LoggerReporter.report( "NotCaptureHelper", "decryptData str : $str" )
returnstr
}
}
5.6 防抓包功能自測(cè)
網(wǎng)絡(luò)請(qǐng)求測(cè)試:
正常請(qǐng)求,測(cè)試網(wǎng)絡(luò)功能是否正常。
抓包測(cè)試:
配置fiddler,charles等工具。
手機(jī)上設(shè)置代理。
手機(jī)上安裝證書。
單向認(rèn)證測(cè)試:進(jìn)行網(wǎng)絡(luò)請(qǐng)求,會(huì)提示 SSLHandshakeException即ssl握手失敗的錯(cuò)誤提示,即表示app端的單向認(rèn)證成功。
數(shù)據(jù)加解密:進(jìn)行網(wǎng)絡(luò)請(qǐng)求,看一下請(qǐng)求參數(shù)和響應(yīng)body數(shù)據(jù)是否加密,如果看不到實(shí)際json實(shí)體則表示加密成功。
網(wǎng)絡(luò)請(qǐng)求測(cè)試:
正常請(qǐng)求,測(cè)試網(wǎng)絡(luò)功能是否正常。
正常請(qǐng)求,測(cè)試網(wǎng)絡(luò)功能是否正常。
抓包測(cè)試:
配置fiddler,charles等工具。
手機(jī)上設(shè)置代理。
手機(jī)上安裝證書。
單向認(rèn)證測(cè)試:進(jìn)行網(wǎng)絡(luò)請(qǐng)求,會(huì)提示 SSLHandshakeException即ssl握手失敗的錯(cuò)誤提示,即表示app端的單向認(rèn)證成功。
數(shù)據(jù)加解密:進(jìn)行網(wǎng)絡(luò)請(qǐng)求,看一下請(qǐng)求參數(shù)和響應(yīng)body數(shù)據(jù)是否加密,如果看不到實(shí)際json實(shí)體則表示加密成功。
配置fiddler,charles等工具。
手機(jī)上設(shè)置代理。
手機(jī)上安裝證書。
單向認(rèn)證測(cè)試:進(jìn)行網(wǎng)絡(luò)請(qǐng)求,會(huì)提示 SSLHandshakeException即ssl握手失敗的錯(cuò)誤提示,即表示app端的單向認(rèn)證成功。
數(shù)據(jù)加解密:進(jìn)行網(wǎng)絡(luò)請(qǐng)求,看一下請(qǐng)求參數(shù)和響應(yīng)body數(shù)據(jù)是否加密,如果看不到實(shí)際json實(shí)體則表示加密成功。
https://github.com/yangchong211/YCToolLib
綜合庫(kù):
https://github.com/yangchong211/YCAppTool
視頻播放器:
https://github.com/yangchong211/YCVideoPlayer
為了防止失聯(lián),歡迎關(guān)注我防備的小號(hào)
微信改了推送機(jī)制,真愛(ài)請(qǐng)星標(biāo)本公號(hào)??
掃描二維碼推送至手機(jī)訪問(wèn)。
版權(quán)聲明:本文由飛速云SEO網(wǎng)絡(luò)優(yōu)化推廣發(fā)布,如需轉(zhuǎn)載請(qǐng)注明出處。