调查结果1:中间人攻击
风险 高
严重程度 高
CVSS评分 7.5
出现 2
细节 Yaazhini检测到此Android应用程序在连接到SSL/TLS时使用ALLOW_ALL_HOSTNAME_VERIFIER,这意味着信任所有证书。Android应用程序可能容易受到中间人攻击。这是对移动的设备最常见的攻击之一。当用户使用公共Wi-Fi网络连接到互联网时,这种攻击会向攻击者提供数据,当用户通过不安全的网络使用应用程序时,并提供一种篡改其通信并利用某些情况下漏洞的方法。
修复 不要在连接到SSL时使用ALLOW_ALL_HOSTNAME_VERIFIER。
发生率:1
文件路径: io\dcloud\common\adapter\util\DCloudTrustManager.java
线 26.
return SSLSocketFactory。
ALLOW_ALL_HOSTNAME_VERIFIER
;
发生率:2
文件路径: io\dcloud\feature\weex\adapter\DCWXHttpAdapter.java
线 346.
返回org. apache. http. conn. ssl. SSLSocketFactory。
ALLOW_ALL_HOSTNAME_VERIFIER
;
1***@qq.com
- 发布:2024-05-22 15:17
- 更新:2024-05-22 16:42
- 阅读:242
参考文档
配置untrustedca = refuse 拒绝非信任证书 设置后ALLOW_ALL_HOSTNAME_VERIFIER漏洞问题会解决,
注意事项
1、apk静态检测出来的漏洞,你修改untrustedca值域还是会检测出来。原因是改配置运行时动态生效。静态检测无法检测出来这种。需要跟检测平台沟通或加固apk规避
2、拒绝非信任证书,会导致部分网络页面、在线图片地址存在证书校验导致无法正常访问加载出来。
1***@qq.com (作者)
设置后重新打包,再次检测还是有啊,没用呀 vue2的项目 用的正式版的2.0.2-4010520240507001
2024-05-24 09:06
DCloud_Android_ST
回复 1***@qq.com: 那平台检测就是我说的第一条 是静态检测检测到静态代码有ALLOW_ALL_HOSTNAME_VERIFIER关键字就会报风险,你可以选择加固处理或与检测平台协商该业务是有代码业务控制的,并非漏洞
2024-05-24 16:07