WebView忽略SSL证书错误检测 -SslErrorHandler.proceed方法

一、API

 

1. 继承关系

 

【1】java.lang.Object

【2】android.os.Handler

【3】android.webkit.SslErrorHandler

 

2. 主要方法

 

【1】cancel( )

  停止加载问题页面

 

【2】proceed( )

  忽略SSL证书错误,继续加载页面

 

【3】其他方法

 

参考链接:http://www.apihome.cn/api/android/SslErrorHandler.html

 

二、触发条件

 

1. 调用SslErrorHandler类的proceed方法

 

【1】对应到smali语句中的特征:Landroid/webkit/SslErrorHandler;->proceed()V

 

2. 方法名:onReceivedSslError

 

三、漏洞原理

 

【1】Android WebView组件加载网页发生证书认证错误时,会调用WebViewClient类的onReceivedSslError方法,如果该方法实现调用了handler.proceed()来忽略该证书错误,则会受到中间人攻击的威胁,可能导致隐私泄露

 

【2】漏洞代码样例

 

【3】参考链接:http://wolfeye.baidu.com/blog/webview-ignore-ssl-error/

 

四、修复建议

 

【1】不调用android.webkit.SslErrorHandler的proceed方法

 

【2】当发生证书认证错误时,采用默认的处理方法SslErrorHandler.cancel(),停止加载问题页面

Logo
CSDN学习社区

CSDN联合极客时间,共同打造面向开发者的精品内容学习社区,助力成长!

更多推荐

嵌入式作业(七):基于Ardunio的STM32串口通信

嵌入式作业(七)0作业要求1Ardunio 完成STM32的串口通信(1)安装Ardunio IDE(2)stm32串口通信2关于 stduino IDE0作业要求安装 Ardunio IDE 和相关软件支持库,在Ardunio 完成STM32板子的串口通信程序:(1)持续向串口输出“Hello world!”;(2)当接收到“stop!”时,停止输出。网上有一个国人版的MCU集成开发平台, st

avatar CSDN学习社区

JDBC详解

JDBC文章目录JDBC什么是JDBC?JDBC驱动程序:Java使用JDBC访问数据库的步骤:设置classpath:Oracle连接字符串的书写格式:简单的例子:常用数据库的驱动程序及JDBC URL:Oracle数据库:SQL Server数据库MySQL数据库Access数据库PreparedStatement接口:JNDI-数据源(Data Source)与连接池(Connection

avatar CSDN学习社区

“模式识别与机器学习”学习笔记no2.再谈感知机

接**上篇:上篇主要进行了PLA,Pocket算法的理论过程分析和在给定数据集上利用pocket算法对数据集进行分类学习,得到错分数量最少的分类面。上篇中pocket算法的过程已经进行了编程和测试,框架已经建立了起来,这一篇主要上篇中没有提到或涉及不深的几个问题。1.数据集的构造。上篇是直接使用了题目给的向量,这次来根据正态分布来产生数据集。np.random.normal函数可以根据均值和方差生

avatar CSDN学习社区