---

今天webview中被檢測(cè)出有ssl劫持的危險(xiǎn)。
檢測(cè)的方法是：

1. app連上vpn(流量被引流到某服務(wù)器上)；
2. 在該服務(wù)器上使用抓包工具抓包（該抓包工具中內(nèi)置有權(quán)威機(jī)構(gòu)頒發(fā)的某ssl證書(shū)）；

• 結(jié)果：在抓包工具中能看到app中webview發(fā)給web服務(wù)器的明文請(qǐng)求數(shù)據(jù)；
• 原因分析：webview中只設(shè)置了檢驗(yàn)證書(shū)，未設(shè)置檢驗(yàn)證書(shū)持有者的common name與請(qǐng)求的域名是否一致
  （結(jié)合php的curl，相當(dāng)于只設(shè)置了CURLOPT_SSL_VERIFYPEER未1，卻設(shè)置CURLOPT_SSL_VERIFYHOST為0 （默認(rèn)為2 驗(yàn)證common name是否有值且與當(dāng)前域名相匹配））
• 解決方式，既驗(yàn)證ssl證書(shū)的權(quán)威性又需驗(yàn)證證書(shū)的common name與請(qǐng)求地址相匹配（自簽名證書(shū)需要信任的話(huà)，結(jié)合php的curl，設(shè)置CURLOPT_CAINFO(path to Certificate Authority (CA) bundle 文件路徑，默認(rèn)為系統(tǒng)路徑，文件中可以保存1個(gè)或多個(gè)用來(lái)讓server驗(yàn)證的證書(shū) )或CURLOPT_CAPATH (保存CA證書(shū)的目錄)。(CURLOPT_SSL_VERIFYPEER為1時(shí)這兩個(gè)參數(shù)才有意義））。安全要求更高的如金融機(jī)構(gòu)，需進(jìn)行雙向認(rèn)證，即client驗(yàn)證server ,server也要驗(yàn)證client（銀行發(fā)給用戶(hù)的U盾就是用于雙向認(rèn)證）結(jié)合php的curl，設(shè)置CURLOPT_SSLCERT(client端證書(shū)地址)，CURLOPT_SSLCERTPASSWD(有密碼的話(huà)需要設(shè)置密碼)，CURLOPT_SSLCERTTYPE(client端證書(shū)類(lèi)型，默認(rèn)為pem)(php的curl只支持pem格式、der、eng格式)） ^[1]
  有另外幾個(gè)配置我不清楚在什么情況下需要設(shè)置：CURLOPT_SSLKEYTYPE：(私鑰類(lèi)型，默認(rèn)為pem)，CURLOPT_SSLKEY(私鑰存放路徑)，CURLOPT_KEYPASSWD(私鑰密碼)，

由此問(wèn)題，簡(jiǎn)單了解一下ssl劫持的常見(jiàn)方法：

參考了csdn上一篇清晰易懂的博文（點(diǎn)擊前去）^[2]

1. 引流（ARP欺騙、DNS欺騙、瀏覽器數(shù)據(jù)重定向等方式）
2. • 對(duì)于使用瀏覽器的用戶(hù)：
     • 瀏覽器會(huì)提示用戶(hù)，該證書(shū)有問(wèn)題并非權(quán)威機(jī)構(gòu)頒發(fā)，但同時(shí)顯示該證書(shū)在有效期內(nèi)，該證書(shū)名稱(chēng)與用戶(hù)請(qǐng)求的網(wǎng)頁(yè)地址匹配，詢(xún)問(wèn)用戶(hù)是否繼續(xù)；
     • 若用戶(hù)點(diǎn)擊繼續(xù)，則用戶(hù)的client端與冒充真正服務(wù)器的Middleman建立了連接，Middleman能夠看到并修改用戶(hù)發(fā)送給Server的信息，同時(shí)也可以冒充用戶(hù)向真正的Server發(fā)請(qǐng)求，也能看到并修改Server給用戶(hù)的返回。
   • 對(duì)于webview的用戶(hù)，則需要app進(jìn)行相應(yīng)設(shè)置，既校驗(yàn)證書(shū)的權(quán)威性、有效性又校驗(yàn)證書(shū)的name存在且與請(qǐng)求的地址匹配。
     可參考阿里云的一篇文章（點(diǎn)擊前去
   • 對(duì)于 存在http跳轉(zhuǎn)到https的網(wǎng)站，Middleman將Server返回的302狀態(tài)碼的response內(nèi)容進(jìn)行替換（主要有消息頭中的location的https替換為http,并指定Middleman上一個(gè)端口如https://xxx.com替換為http://xxx.com:8081,消息體中的相關(guān)鏈接也進(jìn)行如是替換）。這樣Middleman就與client建立起http連接，與Server建立起https連接，能看到并修改用戶(hù)發(fā)送的數(shù)據(jù)和服務(wù)器返回的數(shù)據(jù)。

參考文章：

---

本頁(yè)內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過(guò)網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶(hù)學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁(yè)中由涉嫌抄襲的內(nèi)容，請(qǐng)及時(shí)與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會(huì)在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://caipiao93.cn/20462.html