开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何防止根设备绕过Android中的证书钉住？

根设备绕过Android中的证书钉住是指恶意应用程序通过修改Android设备的根证书存储，绕过SSL/TLS通信中的证书验证，从而窃取敏感信息或进行中间人攻击等恶意行为。为了防止根设备绕过Android中的证书钉住，可以采取以下措施：

使用固定的证书验证：在Android应用中，可以固定特定的证书用于验证服务器的身份。这样，即使根设备被修改，应用仍然能够正确验证证书的有效性。推荐使用的腾讯云产品是SSL证书服务，该服务提供了丰富的SSL证书选项，并支持根证书锁定功能，详情请参考：https://cloud.tencent.com/product/ssl
检查设备的完整性：可以通过检查Android设备的完整性来判断是否存在根设备绕过的风险。例如，可以使用Google SafetyNet API来验证设备的完整性，并在检测到异常时采取相应的防护措施。
实施应用签名验证：通过对应用的签名进行验证，可以确保应用的完整性和真实性。可以使用Android系统提供的应用签名验证功能，并在应用启动时进行验证。腾讯云的移动应用安全解决方案提供了应用签名验证等功能，详情请参考：https://cloud.tencent.com/product/msas
定期更新证书和密钥：及时更新使用的证书和密钥，可以降低根设备绕过的风险。建议使用自动化工具来管理证书和密钥的更新，确保及时性和准确性。
限制特权和敏感操作：将敏感操作限制在应用内部，避免在外部环境中进行，以防止根设备获取敏感信息或利用根权限进行攻击。例如，可以使用Android的密钥存储系统来保护敏感数据，并限制只在应用内部进行加解密操作。

总结起来，为了防止根设备绕过Android中的证书钉住，需要综合使用固定证书验证、设备完整性检查、应用签名验证、定期更新证书和密钥、限制特权和敏感操作等多种措施来加强应用的安全性。腾讯云提供了多种相关产品和解决方案，可帮助开发者提升应用的安全性和防护能力。

相关搜索:在Blazor中拖放时如何防止移动设备中的scoll 如何从android的手机设置中获取设备名称如何以编程方式访问android设备中的根文件，如/data/data/a.log？如何在android 10中获取唯一的设备id？如何在Android App中获取设备存储中的所有视频如何在Android Studio中设置支持的设备类型？如何在Android中以编程方式从设备检索已安装的证书(Xamarin)如何在android中根据设备的宽度设置edittext的宽度？如何在Android中通过编程删除设备上的图片？如何在facelock android设备中获取注册的设备外观参数？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

移动安全渗透测试清单 2022

多合一移动安全框架的移动安全渗透测试列表，包括 Android 和 iOS 应用程序渗透测试。

01

VPN，广告拦截服务提供商手忙脚乱

BuzzFeed周一报道，流行的分析平台Sensor Tower拥有的许多VPN和广告阻止应用程序已经在使用其Android和iOS设备上的程序的数百万人中收集了数据。 BuzzFeed发现，涉及的软件包括免费和无限VPN，Luna VPN，移动数据，适用于Android设备的Adblock Focus，以及适用于iOS硬件的Adblock Focus和Luna VPN。这些应用程序一直在收集数据并将其提供给Sensor Tower的产品，而不会向用户透露。 BuzzFeed表示，在与苹果和谷歌联系后，他们将Adblock Focus从苹果的在线商店中删除，并将移动数据从Google Play商店中删除。 BuzzFeed解释说，在手机上安装Sensor Tower应用程序后，它会指示用户安装根证书，该证书可以访问通过手机传递的所有数据的软件。 BuzzFeed指出，访问根证书特权受到Google和Apple的限制，因为这会对用户造成安全风险。但是，Sensor Tower的应用程序通过在下载应用程序后让用户从外部网站安装根证书来绕过这些限制。据Buzzfeed称，Sensor Tower表示，它仅收集匿名的使用情况和分析数据以集成到其产品中。开发人员，风险资本家，发行商和其他人员使用这些产品来跟踪应用的受欢迎程度，使用趋势和收入。

00

【建议收藏】Android和iOS逆向分析/安全测试/渗透测试工具

1.Appie用于Android Pentesting的便携式软件包，是现有虚拟机的绝佳替代品

01

经验分享 | APP抓包

最近都是在做APP的测试，APP测试最为重要的一步就是抓取数据包，第一步完成才更好的往下去开展，下面我来总结几款本人常用的抓包方式。

02

终端应用安全之网络流量分析

在日常对客户端应用进行安全审计或者漏洞挖掘的时候，或多或少都会涉及到网络协议的分析。而对于业务风控安全而言，APP 的网络请求往往也代表着终端安全防御水平的上限，因为客户端是掌控在攻击者手中的，服务端的业务逻辑才是安全的核心兜底保障。

03

《吐血整理》高级系列教程-吃透Fiddler抓包教程(28)-Fiddler如何抓取Android7.0以上的Https包-下篇

虽然依旧能抓到大部分Android APP的HTTP/HTTPS包，但是别高兴的太早，有的APP为了防抓包，还做了很多操作： ① 二次加密有的APP，在涉及到关键数据通信时，会将正文二次加密后才通过HTTPS发送，我们抓包抓到的是一堆二进制base64 ② 自带HTTP Client 像支付宝那样的变态，自己带了一个基于so的HTTP Client库，对于关键数据，都不走URLConnection和OkHttp，而是走自己的HTTP Client库，甚至一些WebView页面的渲染，都是先用自带的HTTP Client请求得到json数据，然后填到HTML模板里面，再在WebView里渲染出来。 ③ SSL/TLS Pinning，APP自带服务端证书，除了自带证书什么都不信

07

objection绕过SSL Pinning

随着移动端安全逐渐加强，现在越来越多的app已经无法抓到包，或者提示网络相关错误。其实根本原因在于客户端发包时对于服务端的ssl证书进行了校验。使用Burp抓APP包时已经不能简单的在手机上安装burp的证书来实现了。

01

太干了，Android 抓包姿势总结！

App 服务端测试基本就是 Web 安全那一套，但如果抓不到服务器的包？哎~就很难受，空报告？

04

移动设备http、https数据包抓取（Fiddler篇）

在app的安全分析过程中，我们需要检测app的网络接口是否包含有web安全漏洞、或者常见逻辑漏洞等。因此需要捕获app的http、https数据包，从而进行分析。这篇文章主要介绍使用Fiddler捕获app的http、https数据包进行分析。并且介绍有时我们需要分析国外相关app的接口时，如何与访问国外网站设置相结合，捕获国外相关app的http、https数据包。

01

移动端防抓包实践

//第一种方式：配置文件 <network-security-config> <domain-config> <domain includeSubdomains="true">api.zuoyebang.cn</domain> <pin-set expiration="2025-01-01"> <pin digest="SHA-256">38JpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhK90=</pin> <pin digest="SHA-256">9k1a0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM90K=</pin> </pin-set> </domain-config> </network-security-config> //第二种方式：代码设置 fun sslPinning(): OkHttpClient { val builder = OkHttpClient.Builder() val pinners = CertificatePinner.Builder() .add("api.zuoyebang.cn", "sha256//89KpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRh00L=") .add("api.zuoyebang.com", "sha256//a8za0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1o=09") .build() builder.apply { certificatePinner(pinners) } return builder.build() }

01

Android 绕过 SSL Pinning 证书校验

转载请注明出处。请前往 Tiga on Tech 查看原文以及更多有趣的技术文章。

04

APP各种抓包教程

每当遇到一些 APP 渗透测试项目的时候，抓不了包的问题令人有点难受，但是抓不了包并不能代表目标系统很安全，那么接下来我会整理一下目前我所了解到的一些抓包方法

06

最全总结 | Android 系统抓包喂饭教程！

在编写爬虫前，我们都需要对目标应用进行抓包，然后分析一波后，才能进入到编写脚本的阶段

01

Allsafe：包含安全漏洞的Android研究平台

Allsafe是一款包含大量安全漏洞的Android应用程序，跟其他包含漏洞的Android应用不同，Allsafe的设计更像是那些使用了大量现代库和新型技术的真实应用程序，而且Allsafe的设计理念跟CTF比赛也是不一样的。

03

APP攻防-资产收集篇&反证书检验&XP框架&反代理VPN&数据转发&反模拟器

没有限制过滤的抓包问题： 1、抓不到-工具证书没配置好 2、抓不到-app走的不是http/s 有限制过滤的抓包问题： 3、抓不到-反模拟器调试 4、抓不到-反代理VPN 5、抓不到-反证书检验

01

手动为Android 4.x 手机加入�自己的根证书（CA 证书）

AOSP Android系统中CA证书文件的位置在：/ system/etc/security/cacerts/一系列的以数字命名的.0文件

03

利用Frida绕过Android App（apk）的SSL Pinning

做APP测试过程中，使用burp无法抓到数据包或提示网络错误可能是因为APP启用了SSL Pinning，刚好最近接触到apk就是这种情况，于是便有了本文。

02

Android 7.0系统webview 显示https页面空白处理方法

最近开发的时候，偶尔遇到在线上稳定运行的webview内嵌的h5页面加载不出来，一直定位不到具体原因（因为我们自己做的兼容性测试上不重现），看系统日志也没有发现什么问题，后来咨询了用户手机的型号，发现是7.0或者6.0以上的个别机型会出现。

01

使用Burp拦截Flutter App与其后端的通信

Flutter是谷歌的移动UI框架，可以快速在iOS和Android上构建高质量的原生用户界面。Flutter应用程序是用Dart编写的，这是一种由Google在7年多前创建的语言。

00

《吐血整理》高级系列教程-吃透Fiddler抓包教程(35)-Fiddler如何抓取微信小程序的包-下篇

通过前边和宏哥的学习，我们了解到Android 7.0 之后增加了对第三方证书的限制，抓包工具（charles、fiddler等）提供的证书都无法通过校验，也就无法抓取HTTPS请求了，对测试工作影响很大。最近更新的微信 7.0 也增加了第三方证书校验，导致无法正常抓包。

02

Android系统终端上不得不说的5个密钥！

从事手机开发、终端软件安全的相关从业者不得不面对以下5个密钥，其他密钥略：这5个密钥，有些是因为支付宝支付、微信支付所必须要的如IFAA Key、Soter Key。有些是Google最新Andro

android组件安全检测工具(内存检测工具memtest)

Appie – 轻量级的软件包, 可以用来进行基于Android的渗透测试, 不想使用VM的时候可以尝试一下. Android Tamer – 可以实时监控的虚拟环境, 可以用来进行一系列的安全测试, 恶意软件检测, 渗透测试和逆向分析等. AppUse – AppSec Labs开发的Android的虚拟环境. Mobisec – 移动安全的测试环境, 同样支持实时监控 Santoku – 基于Linux的小型操作系统, 提供一套完整的移动设备司法取证环境, 集成大量Adroind的调试工具, 移动设备取证工具, 渗透测试工具和网络分析工具等.

02

工程师必备APP抓包技能

一台上网电脑就能完成 APP 抓包分析一条龙服务。这是一篇 APP 抓包分析总结性文章，采用 APP 模拟器与 Web 调试代理工具组合玩法。从此 APP 抓包分析能力变得游刃有余，告别脚忙手乱。

05

Android应用测试速查表

写在前面最近研究了下Android应用测试，找了一些资料，觉得OWASP这篇写的还是比较系统的，所以翻译出来给大家分享下。文中的翻译尽可能保持原文格式，但一些地方为了通顺和易于理解也做了一定改动，如

07

绕过安卓SSL验证证书的常见四种方式

在此之前，移动端应用程序会直接忽略掉所有的SSL错误，并允许攻击者拦截和修改自己的通信流量。但是现在，很多热门应用程序至少会检查证书链是否是一个有效可信任的证书机构（CA）颁发的。作为一名渗透测试人员来说，我们常常需要让目标应用程序信任我们的证书是有效的，这样我们就可以进行中间人攻击（MITM）并修改其流量了。

02

部分APP无法代理抓包的原因及解决方法

HTTP应用层的抓包已经成为日常工作测试与调试中的重要一环，最近接触新项目突然之间发现之前的抓包手段都不好使了，顿时模块与模块之间的前端与服务之间的交互都变成了不可见，整个人都好像被蒙住了眼睛。

APP渗透｜安卓模拟器7.0以上的抓包方法

通常情况下需要在模拟器中修改wifi代理其实我觉得这种是比较麻烦的、何必不只要我运行了burpsuite和Proxifier之后就可以抓模拟器包，不需要修改其内部配置呢。并且某些app也会检测代理情况，如果修改了或开启了代理app就无法正常运行，我们通过在模拟器外部进行抓包来绕过app检测。

02

域名数字证书安全漫谈(4)-假冒证书、DNS劫持、钓鱼攻击

以往，钓鱼网站都是采用跟目标网站相似的域名，这种情况下，钓鱼网站完全可以使用自己申请的证书，直接通过关键词竞价排名等手段将流量吸引过来，达到欺骗用户的目的。这类网站稍加留意，即可发现破绽。

01

app安全检测

Android API level 16以及之前的版本存在远程代码执行安全漏洞，该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法，远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法，就是通过addJavascriptInterface给WebView加入一个JavaScript桥接接口，JavaScript通过调用这个接口可以直接操作本地的JAVA接口。

01

APP安全检测手册

随着运营商新技术新业务的发展，运营商层面对安全的要求有所变化，渗透测试工作将会面临内容安全、计费安全、业务逻辑及APP等方面的挑战。随着运营商自主开发的移动APP越来越多，这些APP可能并不会通过应用市场审核及发布，其中的安全性将面临越来越多的挑战。

04

android webview 漏洞

webview.getSettings().setJavaScriptEnabled(true) 设置WebView是否允许执行JavaScript脚本，默认false，不允许 API <= 17 需要注意的是在 API17 版本之后，需要在被调用的地方加上 @addJavascriptInterface 约束注解，因为不加上注解的方法是没有办法被调用的

01

快手抓包问题分析

不知从什么版本后，对快手进行简单抓包似乎“不可行”了。表现就是使用常规的 HTTP 正向代理抓包工具（charles、mitmproxy、fiddler 之类）并且把自签名证书种到系统证书里后，数据依然能刷出来，也能抓到一些零星的报文，但是关键出数据的那些接口报文都没有。

01

反爬虫常见策略总结

反爬虫，即应对爬虫进行反制的统称，主要区分“正常用户”与“机器人”的一种策略统称。

04

Android 安全分析和漏洞挖掘｜工具集

@tanprathan 最近在Github上放出了一份移动应用安全分析工具的清单（Cheat Sheet），里边工具比较齐全。Security Toolkit翻译了其中的Android部分，大家有兴趣可以收藏之，以备日后要用。

01

抓包工具——charles

Proxy -> SSL Proxying Settings 勾选 Enable SSL Proxying, Host : _ (使用通配符表示检测所有网络请求；建议还是设置单个需要抓取的 https host，尽量避免使用 _ 通配符) Port：443

04

四种绕过iOS SSL验证和证书固定的方法

几个月前，Cody Wass曾发表过一篇关于如何绕过Android验证和证书固定的文章。这篇文章给予了我很大的灵感，因此我决定也分享一些我在工作当中发现的，关于绕过iOS SSL验证和证书固定的方法。Cody在他的文章里重申了中间人攻击，在任何标准渗透测试当中的重要性。通过中间人攻击，我们可以拦截和fuzz所有的HTTP请求，并检查是否存在安全漏洞。在下面的例子中，我将使用Burp Suite作为我的Web代理。本文假设读者对iOS，Xcode，设置手机和在iOS使用Burp拦截HTTP流量有基本的了解。本文我将为大家介绍以下四种，绕过iOS中的SSL验证和证书固定的方法：

04

APK 签名：v1 v2 v3 v4

通过对 Apk 进行签名，开发者可以证明对 Apk 的所有权和控制权，可用于安装和更新其应用。而在 Android 设备上的安装 Apk ，如果是一个没有被签名的 Apk，则会被拒绝安装。

03

Android 网络优化，使用 HTTPDNS 优化 DNS，从原理到 OkHttp 集成

谈到优化，首先第一步，肯定是把一个大功能，拆分成一个个细小的环节，再单个拎出来找到可以优化的点，App 的网络优化也是如此。

01

python爬虫用drony转发进行抓包转发

转载至https://www.cnblogs.com/lulianqi/p/11380794.html#l_2

02

Lindows 复活，Linspire 10 Beta 版发布

据 cnbeta 报道，Linspire 是一个面向桌面用户的 Linux 发行版，其根源可以追溯到 20 年前的 Lindows，后因商标纠纷和微软打官司后改名，它在 2018 年进入休眠状态，然后最近复活并继续发布基于 Ubuntu 的发行版，它的 Linspire 10 测试版在今年圣诞假期之前公布了。Linspire 10 Beta 基于 Ubuntu 20.04 LTS 与 Linux 5.4 内核开发。Linspire 10 使用的是 Xfce 4.14 桌面，并带来了一些软件包的更新。

03

Android抓包总结-HTTPS单向认证&双向认证突破

在被问到抓包时的一些问题：证书、单向认证、双向认证怎么处理，以及绕过背后的原理时，一时很难说清个大概，于是整理了下思绪，将这些知识进行总结和整理，末尾再对一个某社交APP进行实战突破HTTPS双向认证进行抓包。--团队新加入成员：miniboom

02

如何让应用支持 Android 8.0 自动填充？

自从 Android Oreo 发布以来，自动填写功能方便了用户在 App 内提交信息，例如信用卡、登陆信息、地址等等。现在 App 内的表格都可以自动填写，而且用户无须费力记住复杂的密码，也免去了一次次填写的麻烦。

01

fiddler 的使用

https://www.telerik.com/fiddler/fiddler-classic

03

内网 HTTPS 可信证书

开发团队或者公司内部一般会采用内外网隔离、上网行为过滤等措施，比较可靠地保证了内部设备无法被外部网络所侦测，从而可能认为 HTTP 内网站点是一个相对安全的存在。即使在 HTTPS 证书如此盛行的今天，也还暂时不考虑内部站点的 HTTPS 化。IP + Port 或者 http://本地域名的访问方式依旧是座上宾。当然，如果考虑到购买 HTTPS 证书的成本或者团队内网站点采用 Letsencrypt 等免费证书过于麻烦（只能采用 DNS 验证的方式每三个月申请一次新证书），那么自签名 SSL 证书则成为首选了。不过，如果为每一个内网站点都生成一个 SSL 证书，然后让大家都手动把 HTTPS 标为可信，那么当面临大量内网站点时，大家可能要被搞崩溃。更为可行的办法是，生成一个内网用的根证书，只标记该根证书可信。

05

新 Wi-Fi 漏洞导致 Android 和 Linux 设备近乎“裸奔”

网络安全研究人员发现，在安卓、Linux 和 ChromeOS 设备的开源 Wi-Fi 软件中存在两个身份验证绕过漏洞。据悉，安全漏洞可能诱使用户加入合法网络的恶意“克隆”，允许威胁攻击者在没有密码的情况下加入可信网络。

01

使用青花瓷对Android app 抓包

青花瓷window版本下载地址：http://www.pc6.com/softview/SoftView_426224.html

01

Android 网络优化-DNS优化

在 App 访问网络的时候，DNS 解析是网络请求的第一步，默认咱们使用运营商的 LocalDNS 服务。有数据统计，在这一块 3G 网络下，耗时在 200~300ms，4G 网络下也须要 100ms。

03

宕机噩梦，CTO也躲不过凌晨改代码！

你已沉沉睡去，却突然被闹钟的铃声惊醒。揉揉眼睛，你点亮手机，发现是凌晨三点。好吧，又出问题了。

01

App渗透 - Android应用的错误中获取漏洞

Damn Insecure 漏洞App DIVA是一款漏洞App，旨在教授Android App中发现的漏洞、本文将引导你发现其中的一些漏洞。

03

扯一扯HTTPS单向认证、双向认证、抓包原理、反抓包策略

HTTP（HyperText Transfer Protocol，超文本传输协议）被用于在Web浏览器和网站服务器之间传递信息，在TCP/IP中处于应用层。这里提一下TCP/IP的分层共分为四层：应用层、传输层、网络层、数据链路层; 分层的目的是：分层能够解耦，动态替换层内协议

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭