---

今天webview中被檢測出有ssl劫持的危險。
檢測的方法是：

1. app連上vpn(流量被引流到某服務器上)；
2. 在該服務器上使用抓包工具抓包（該抓包工具中內置有權威機構頒發的某ssl證書）；

• 結果：在抓包工具中能看到app中webview發給web服務器的明文請求數據；
• 原因分析：webview中只設置了檢驗證書，未設置檢驗證書持有者的common name與請求的域名是否一致
  （結合php的curl，相當于只設置了CURLOPT_SSL_VERIFYPEER未1，卻設置CURLOPT_SSL_VERIFYHOST為0 （默認為2 驗證common name是否有值且與當前域名相匹配））
• 解決方式，既驗證ssl證書的權威性又需驗證證書的common name與請求地址相匹配（自簽名證書需要信任的話，結合php的curl，設置CURLOPT_CAINFO(path to Certificate Authority (CA) bundle 文件路徑，默認為系統路徑，文件中可以保存1個或多個用來讓server驗證的證書 )或CURLOPT_CAPATH (保存CA證書的目錄)。(CURLOPT_SSL_VERIFYPEER為1時這兩個參數才有意義））。安全要求更高的如金融機構，需進行雙向認證，即client驗證server ,server也要驗證client（銀行發給用戶的U盾就是用于雙向認證）結合php的curl，設置CURLOPT_SSLCERT(client端證書地址)，CURLOPT_SSLCERTPASSWD(有密碼的話需要設置密碼)，CURLOPT_SSLCERTTYPE(client端證書類型，默認為pem)(php的curl只支持pem格式、der、eng格式)） ^[1]
  有另外幾個配置我不清楚在什么情況下需要設置：CURLOPT_SSLKEYTYPE：(私鑰類型，默認為pem)，CURLOPT_SSLKEY(私鑰存放路徑)，CURLOPT_KEYPASSWD(私鑰密碼)，

由此問題，簡單了解一下ssl劫持的常見方法：

參考了csdn上一篇清晰易懂的博文（點擊前去）^[2]

1. 引流（ARP欺騙、DNS欺騙、瀏覽器數據重定向等方式）
2. • 對于使用瀏覽器的用戶：
     • 瀏覽器會提示用戶，該證書有問題并非權威機構頒發，但同時顯示該證書在有效期內，該證書名稱與用戶請求的網頁地址匹配，詢問用戶是否繼續；
     • 若用戶點擊繼續，則用戶的client端與冒充真正服務器的Middleman建立了連接，Middleman能夠看到并修改用戶發送給Server的信息，同時也可以冒充用戶向真正的Server發請求，也能看到并修改Server給用戶的返回。
   • 對于webview的用戶，則需要app進行相應設置，既校驗證書的權威性、有效性又校驗證書的name存在且與請求的地址匹配。
     可參考阿里云的一篇文章（點擊前去
   • 對于 存在http跳轉到https的網站，Middleman將Server返回的302狀態碼的response內容進行替換（主要有消息頭中的location的https替換為http,并指定Middleman上一個端口如https://xxx.com替換為http://xxx.com:8081,消息體中的相關鏈接也進行如是替換）。這樣Middleman就與client建立起http連接，與Server建立起https連接，能看到并修改用戶發送的數據和服務器返回的數據。

參考文章：

---

本頁內容由塔燈網絡科技有限公司通過網絡收集編輯所得，所有資料僅供用戶學習參考，本站不擁有所有權，如您認為本網頁中由涉嫌抄襲的內容，請及時與我們聯系，并提供相關證據，工作人員會在5工作日內聯系您，一經查實，本站立刻刪除侵權內容。本文鏈接:http://www.juherenli.com/20462.html