前言:在實際專案**審計中發現,目前很多手機銀行雖然使用了https通訊方式,但是只是簡單的呼叫而已,並未對ssl證書有效性做驗證。在攻擊者看來,這種漏洞讓https形同虛設,可以輕易獲取手機使用者的明文通訊資訊。
手機銀行開發人員在開發過程中為了解決ssl證書報錯的問題(使用了自己生成了證書後,客戶端發現證書無法與系統可信根ca形成信任鏈,出現了 certificateexception等異常。),會在客戶端**中信任客戶端中所有證書的方式:
//客戶端並未對ssl證書的有效性進行校驗,並且使用了自定義方法的方式覆蓋android自帶的校驗方法
public void checkservertrusted(x509certificate chain, string authtype) throws certificateexception
public x509certificate getacceptedissuers()
};sslcontext.init(null, new trustmanager , null);
問題出來了:
如果使用者手機中安裝了乙個惡意證書,那麼就可以通過中間人攻擊的方式進行竊聽使用者通訊以及修改request或者response中的資料。
手機銀行中間人攻擊過程:
1 客戶端在啟動時,傳輸資料之前需要客戶端與服務端之間進行一次握手,在握手過程中將確立雙方加密傳輸資料的密碼資訊。
2 中間人在此過程中將客戶端請求伺服器的握手資訊攔截後,模擬客戶端請求給伺服器(將自己支援的一套加密規則傳送給伺服器),伺服器會從中選出一組加密演算法與hash演算法,並將自己的身份資訊以證書的形式發回給客戶端。證書裡面包含了**位址,加密公鑰,以及證書的頒發機構等資訊。
3 而此時中間人會攔截下服務端返回給客戶端的證書資訊,並替換成自己的證書資訊。
4 客戶端得到中間人的response後,會選擇以中間人的證書進行加密資料傳輸。
5 中間人在得到客戶端的請求資料後,以自己的證書進行解密。
6 在經過竊聽或者是修改請求資料後,再模擬客戶端加密請求資料傳給服務端。就此完成整個中間人攻擊的過程。
以fiddler工具模擬中間人攻擊為例:
1 首先在手機中裝入fiddler根證書:
匯出fiddler的根證書:
將fiddler根證書放入手機的sd卡中,然後在手機設定-安全中選擇從sd卡中安裝證書:
成功安裝fiddler根證書到手機上:
2 在pc端開啟fiddler,將手機通訊**到pc端fiddler所監聽的埠上(可以在wifi中的高階設定中設定**),這樣手機銀行的所有通訊均會被fiddler監聽到。
防護辦法:
使用ca機構頒發證書的方式可行,但是如果與實際情況相結合來看的話,時間和成本太高,所以目前很少有用此辦法來做。由於手機銀行伺服器其實是固定的,所以證書也是固定的,可以使用「證書或公鑰鎖定」的辦法來防護證書有效性未作驗證的問題。
具體實現:
1 公鑰鎖定
將證書公鑰寫入客戶端apk中,https通訊時檢查服務端傳輸時證書公鑰與apk中是否一致。
public final class pubkeymanager implements x509trustmanager catch (exception e) {
throw new certificateexception(e);
// hack ahead: biginteger and tostring(). we know a der encoded public key begins
// with 0×30 (asn.1 sequence and constructed), so there is no leading 0×00 to drop.
rsapublickey pubkey = (rsapublickey) chain[0].getpublickey();
string encoded = new biginteger(1 /* positive */, pubkey.getencoded()).tostring(16);
// pin it!
final boolean expected = pub_key.equalsignorecase(encoded);
if (!expected) {
throw new certificateexception(「checkservertrusted: expected public key: 」
+ pub_key + 「, got public key:」 + encoded);
2 證書鎖定:
即為客戶端頒發公鑰證書存放在手機客戶端中,在https通訊時,在客戶端**中固定去取證書資訊,不是從服務端中獲取。
驗證證書的有效性 cryptoapi
使用certgetissuercertificatefromstore函式來驗證證書的有效性,其函式宣告如下 pccert context winapicertgetissuercertificatefromstore hcertstorehcertstore in 要查詢的證書庫pccert co...
數字證書有效性的驗證
分為三步 1.數字證書有效期驗證 就是說證書的使用時間要在起始時間和結束時間之內。通過解析證書很容易得到證書的有效期 2.證書鏈的驗證 證書鏈可以有任意環節的長度,所以在三節的鏈中,信任錨證書ca 環節可以對中間證書簽名 中間證書的所有者可以用自己的私鑰對另乙個證書簽名。certpath api 可...
驗證數字證書的有效性
此文來自於知乎的 要想驗證證書是否有效,要檢查三點 1.驗證證書是否在有效期內。證書中會包含證書的有效期的起始時間和結束時間,取乙個時間點去比較就好了。關鍵問題是如何保證取到的時間點是可信的,這就是另外乙個話題了。2.驗證證書是否被吊銷了。被吊銷的證書是無效的。驗證吊銷有crl和ocsp兩種方法。c...