---

今天webview中被檢測出有ssl劫持的危險。
檢測的方法是：

1. app連上vpn(流量被引流到某服務(wù)器上)；
2. 在該服務(wù)器上使用抓包工具抓包（該抓包工具中內(nèi)置有權(quán)威機構(gòu)頒發(fā)的某ssl證書）；

• 結(jié)果：在抓包工具中能看到app中webview發(fā)給web服務(wù)器的明文請求數(shù)據(jù)；
• 原因分析：webview中只設(shè)置了檢驗證書，未設(shè)置檢驗證書持有者的common name與請求的域名是否一致
  （結(jié)合php的curl，相當(dāng)于只設(shè)置了CURLOPT_SSL_VERIFYPEER未1，卻設(shè)置CURLOPT_SSL_VERIFYHOST為0 （默認為2 驗證common name是否有值且與當(dāng)前域名相匹配））
• 解決方式，既驗證ssl證書的權(quán)威性又需驗證證書的common name與請求地址相匹配（自簽名證書需要信任的話，結(jié)合php的curl，設(shè)置CURLOPT_CAINFO(path to Certificate Authority (CA) bundle 文件路徑，默認為系統(tǒng)路徑，文件中可以保存1個或多個用來讓server驗證的證書 )或CURLOPT_CAPATH (保存CA證書的目錄)。(CURLOPT_SSL_VERIFYPEER為1時這兩個參數(shù)才有意義））。安全要求更高的如金融機構(gòu)，需進行雙向認證，即client驗證server ,server也要驗證client（銀行發(fā)給用戶的U盾就是用于雙向認證）結(jié)合php的curl，設(shè)置CURLOPT_SSLCERT(client端證書地址)，CURLOPT_SSLCERTPASSWD(有密碼的話需要設(shè)置密碼)，CURLOPT_SSLCERTTYPE(client端證書類型，默認為pem)(php的curl只支持pem格式、der、eng格式)） ^[1]
  有另外幾個配置我不清楚在什么情況下需要設(shè)置：CURLOPT_SSLKEYTYPE：(私鑰類型，默認為pem)，CURLOPT_SSLKEY(私鑰存放路徑)，CURLOPT_KEYPASSWD(私鑰密碼)，

由此問題，簡單了解一下ssl劫持的常見方法：

參考了csdn上一篇清晰易懂的博文（點擊前去）^[2]

1. 引流（ARP欺騙、DNS欺騙、瀏覽器數(shù)據(jù)重定向等方式）
2. • 對于使用瀏覽器的用戶：
     • 瀏覽器會提示用戶，該證書有問題并非權(quán)威機構(gòu)頒發(fā)，但同時顯示該證書在有效期內(nèi)，該證書名稱與用戶請求的網(wǎng)頁地址匹配，詢問用戶是否繼續(xù)；
     • 若用戶點擊繼續(xù)，則用戶的client端與冒充真正服務(wù)器的Middleman建立了連接，Middleman能夠看到并修改用戶發(fā)送給Server的信息，同時也可以冒充用戶向真正的Server發(fā)請求，也能看到并修改Server給用戶的返回。
   • 對于webview的用戶，則需要app進行相應(yīng)設(shè)置，既校驗證書的權(quán)威性、有效性又校驗證書的name存在且與請求的地址匹配。
     可參考阿里云的一篇文章（點擊前去
   • 對于 存在http跳轉(zhuǎn)到https的網(wǎng)站，Middleman將Server返回的302狀態(tài)碼的response內(nèi)容進行替換（主要有消息頭中的location的https替換為http,并指定Middleman上一個端口如https://xxx.com替換為http://xxx.com:8081,消息體中的相關(guān)鏈接也進行如是替換）。這樣Middleman就與client建立起http連接，與Server建立起https連接，能看到并修改用戶發(fā)送的數(shù)據(jù)和服務(wù)器返回的數(shù)據(jù)。

參考文章：

---

本頁內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認為本網(wǎng)頁中由涉嫌抄襲的內(nèi)容，請及時與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會在5工作日內(nèi)聯(lián)系您，一經(jīng)查實，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://jstctz.cn/20462.html