Android静态安全检测 -> 明文数字证书风险
2016-11-29 17:43
1306 查看
明文数字证书风险 -
.cer文件
一、API
【1】os.walk(dir_path) 遍历某路径下的所有文件
【2】os.path.splitext(file_name) 分离文件名与扩展名
【3】os.path.join(root, file) 连接目录与文件名或目录
【4】参考链接
http://blog.csdn.net/cryhelyxx/article/details/45219947
二、触发条件
1. 主要是查找反编译目录中的.cer文件
【1】对应的代码段
三、漏洞原理
【1】明文存储的数字证书如果被篡改,可能会造成客户端与服务端之间的传输数据被截获并解密,造成用户信息泄露
四、修复建议
【1】对数字证书文件(.cer)进行加密,避免证书文件泄露
.cer文件
一、API
【1】os.walk(dir_path) 遍历某路径下的所有文件
【2】os.path.splitext(file_name) 分离文件名与扩展名
【3】os.path.join(root, file) 连接目录与文件名或目录
【4】参考链接
http://blog.csdn.net/cryhelyxx/article/details/45219947
二、触发条件
1. 主要是查找反编译目录中的.cer文件
【1】对应的代码段
三、漏洞原理
【1】明文存储的数字证书如果被篡改,可能会造成客户端与服务端之间的传输数据被截获并解密,造成用户信息泄露
四、修复建议
【1】对数字证书文件(.cer)进行加密,避免证书文件泄露
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Android静态安全检测 -> 资源文件泄露风险
- Android静态安全检测 -> PendingIntent误用风险
- Android静态安全检测 -> 证书弱校验
- Android静态安全检测 -> 敏感函数调用风险
- Android静态安全检测 -> WebView明文存储密码
- Android静态安全检测 -> WebView明文存储密码
- Android静态安全检测 -> 日志泄漏风险
- Android静态安全检测 -> SharedPreferences任意读写
- Android静态安全检测 -> logcat可能泄露隐私敏感信息
- Android静态安全检测 -> Activity组件暴露
- Android静态安全检测 -> 数据库文件任意读写
- Android静态安全检测 -> 主机名弱校验
- Android静态安全检测 -> 自定义权限的保护级别
- Android静态安全检测 -> Broadcast Receiver组件暴露
- Android静态安全检测 -> 文件任意读写
- Android静态安全检测 -> AES/DES弱加密
- Android静态安全检测 -> 随机数使用不安全
- Android静态安全检测 -> debuggable标志位
- Android静态安全检测 -> WebView忽略SSL证书错误检测
- Android静态安全检测 -> Content Provider组件暴露