支持支付宝、微信、对公转账等多种支付方式
一 、HTTPS连接过程及中间人攻击原理
https协议就是http+ssl协议,,如下图所示为其连接过程:
1.https请求
客户端向服务端发送https请求;
2.生成公钥和私钥
服务端收到请求之后,生成公钥和私钥。公钥相当于是锁,私钥相当于是钥匙,只有私钥才能够打开公钥锁住的内容;
3.返回公钥
服务端将公钥(证书)返回给客户端,公钥里面包含有很多信息,比如证书的颁发机构、过期时间等等;
4.客户端验证公钥
客户端收到公钥之后,首先会验证其是否有效,如颁发机构或者过期时间等,如果发现有问题就会抛出异常,提示证书存在问题。如果没有问题,那么就生成一个随机值,作为客户端的密钥,然后用服务端的公钥加密;
5.发送客户端密钥
客户端用服务端的公钥加密密钥,然后发送给服务端。
6.服务端收取密钥,对称加密内容
服务端收到经过加密的密钥,然后用私钥将其解密,得到客户端的密钥,然后服务端把要传输的内容和客户端的密钥进行对称加密,这样除非知道密钥,否则无法知道传输的内容。
7.加密传输
服务端将经过加密的内容传输给客户端。
8.获取加密内容,解密
客户端获取加密内容后,用之前生成的密钥对其进行解密,获取到内容。
中间人劫持攻击
https也不是绝对安全的,如下图所示为中间人劫持攻击,中间人可以获取到客户端与服务器之间所有的通信内容。
HTTPS连接过程以及中间人攻击劫持
中间人截取客户端发送给服务器的请求,然后伪装成客户端与服务器进行通信;将服务器返回给客户端的内容发送给客户端,伪装成服务器与客户端进行通信。
通过这样的手段,便可以获取客户端和服务器之间通信的所有内容。
使用中间人攻击手段,必须要让客户端信任中间人的证书,如果客户端不信任,则这种攻击手段也无法发挥作用。
二、中间人攻击的预防
造成中间人劫持的原因是 没有对服务端证书及域名做校验或者校验不完整,为了方便,直接采用开源框架默认的校验方式进行https请求
如volley
HTTPS连接过程以及中间人攻击劫持
HTTPS连接过程以及中间人攻击劫持
OKhttp3.0
HTTPS连接过程以及中间人攻击劫持
预防方法:
预防方式有两种
1 、针对安全性要求比较高的 app,可采取客户端预埋证书的方式锁死证书,只有当客户端证书和服务端的证书完全一致的情况下才允许通信,如一些银行类的app,但这种方式面临一个问题,证书过期的问题,因证书有一定的有效期,当预埋证书过期了,只有通过强制更新或者要求用户下载证书来解决。
以volley为例:校验的实现方式如下
通过预埋证书创建 SSLSocketFactory;
private static SSLSocketFactory buildSSLSocketFactory(Context context,
int certRawResId) {
KeyStore keyStore = null;
try {
keyStore = buildKeyStore(context, certRawResId);
} catch (KeyStoreException e) {
e.printStackTrace();
} catch (CertificateException e) {
e.printStackTrace();
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} catch (IOException e) {
e.printStackTrace();
}
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = null;
try {
tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} catch (KeyStoreException e) {
e.printStackTrace();
}
SSLContext sslContext = null;
try {
sslContext = SSLContext.getInstance("TLS");
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
try {
sslContext.init(null, tmf.getTrustManagers(), null);
} catch (KeyManagementException e) {
e.printStackTrace();
}
return sslContext.getSocketFactory();
生成 经过ssl校验及 域名校验的connection
HTTPS连接过程以及中间人攻击劫持
HTTPS连接过程以及中间人攻击劫持
2 针对安全性要求一般的app,可采用通过校验域名,证书有效性、证书关键信息及证书链的方式
以volley为例,重写HTTPSTrustManager 中的checkServerTrusted 方法,同时开启域名强校验
三、Webview的HTTPS安全
看了这篇文章的人还看了

- 全部评论(0)
上一篇:前端本地文件操作与上传
- 129891提前尝鲜:Win10易升可将系统升级至创意者更新15063正式版
- 45992外贸建站(英文网站建设)用什么CMS系统好?
- 3353340个美食主题网页设计欣赏
- 28504网站建设需求两极分化准确把握趋势方能转型不痛
- 26875外贸网站建设方案应该怎么操作
- 26656网站活动Banner如何设计,才能吸引用户眼球?
- 26267织梦去版权 power by dedecms
- 24418优秀的海报作品设计分析总结
- 22519广州外贸建站哪个系统好呢?
- 200610佛山建站费用一般有哪几个方面组成