检测出以下风险,请问要怎么修复!!!!!!!!!!
问题出在官方的CustomTrustMgr这个类上~~~
HbuilderX版本是4.15
检测项目 SSL通信服务端检测信任任意证书漏洞
检测目的 检测应用是否对服务端证书进行有效性校验。
风险等级 中危
风险描述
使用HTTPS协议时,客户端必须对服务器证书进行完整性校验,
以验证服务器的合法性。如果未校验,客户端可能与仿冒的服务
器建立通信链接,即“中间人攻击”。Android允许开发者重定
义证书验证方法,使用X509TrustManager类检查证书是否合法
并且是否过期。如果重写X509TrustManager时,
checkServerTrusted()方法对证书校验结果未做任何处理,即在
证书验证失败时,仍然与服务器建立通信链接,存在发生“中间
人攻击”的风险。当发生中间人攻击时,仿冒的中间人可以冒充
服务器与客户端进行交互,窃取手机号码、账号、密码等敏感信
息,甚至可能对通信内容进行篡改。
检测步骤
1、反编译获取应用的 smali 代码内容;
2、扫描 smali 代码中的 HTTPS 在验证服务器证书时,是否对服
务器证书进行安全校验。
检测结果 风险(1处)
处理建议 监管审核环节重点关注,务必修复
结果描述 该应用存在SSL通信服务端检测信任任意证书漏洞。
检测详情
1.位置:com.xxx.xxx.CustomTrustMgr.void
checkServerTrusted(java.security.cert.X509Certificate[],java.l
ang.String)
解决方案
严格判断服务端证书校验,对于异常事件禁止return 空或者
null。
0 个回复