我正在开发Android应用程序并使用SSL连接来连接到我的服务器。
要连接到我的网络服务,我使用Volley Request到我的服务器https'地址。
但是,当我试图使用Packet Capture拦截我的连接时,使用man in middle方法拦截我的连接,它看起来像一个非SSL连接。我可以看到整个请求和响应。 但是,其他应用程序如LINE,Facebook无法通过Packet Capture解密。我想保护我的网络服务,甚至是像LINE和Facebook那样的设备。我怎样才能实现这一目标?我不希望有人知道发送到我的网络服务的任何参数。
我的后端服务器使用谷歌云平台计算引擎。
编辑:我使用Letsencrypt.org SSL证书。
代码:
我的自定义请求
public class CustomRestRequest extends Request<JSONObject> implements Serializable {
private static final String SERVER_URL = "https://myapiurl.com/";
private Map<String, String> mHeaders = new HashMap<>();
private Response.Listener<JSONObject> listener;
private Map<String, String> params;
public UberGUARestRequest(String action, Map<String, String> params,
Response.Listener<JSONObject> responseListener, Response.ErrorListener errorListener) {
super(Method.POST, SERVER_URL + action, errorListener);
this.listener = responseListener;
this.params = params;
}
protected Map<String, String> getParams()
throws com.android.volley.AuthFailureError {
return params;
}
@Override
protected Response<JSONObject> parseNetworkResponse(NetworkResponse response) {
try {
String jsonString = new String(response.data,
HttpHeaderParser.parseCharset(response.headers));
return Response.success(new JSONObject(jsonString),
HttpHeaderParser.parseCacheHeaders(response));
} catch (UnsupportedEncodingException e) {
return Response.error(new ParseError(e));
} catch (JSONException je) {
return Response.error(new ParseError(je));
}
}
@Override
protected void deliverResponse(JSONObject response) {
listener.onResponse(response);
}
@Override
public Map<String, String> getHeaders() {
return mHeaders;
}
public void setBearerAuthorization(String token) {
mHeaders.put("Authorization", "Bearer " + token);
}
}
我的请求示例:
Map<String, String> params = new HashMap<>();
params.put("message", message);
final CustomRestRequest request = new CustomRestRequest("user/support", params,
new Response.Listener<JSONObject>() {
@Override
public void onResponse(JSONObject response) {
try {
if (response.getString("status").equals("00")) {
result.status = "00";
mListener.onSupportTaskPostExecute(result);
} else {
result.status = "99";
isRunning = false;
mListener.onSupportTaskPostExecute(result);
}
} catch (Exception ex) {
result.status = "99";
isRunning = false;
mListener.onSupportTaskPostExecute(result);
}
}
},
new Response.ErrorListener() {
@Override
public void onErrorResponse(VolleyError error) {
result.status = "88";
isRunning = false;
mListener.onSupportTaskPostExecute(result);
error.printStackTrace();
}
});
request.setBearerAuthorization(AppHelper.getAuthCode(getContext()));
RequestQueue queue = Volley.newRequestQueue(getContext());
queue.add(request);
答案 0 :(得分:3)
只要攻击者拥有您的设备接受的证书,SSL就容易受到MitM攻击。*
您的设备主要接受两种类型的证书:由Verisign或Thawte等受信任组织颁发的证书,以及您自己安装的证书。
我怀疑Packet Capture,如果你正在使用它,就是在设备上安装自己的证书以使其受信任,以后能够欺骗传出连接上的任何证书。
好消息是,来自外部的任何一次性攻击都不应该轻易做同样的事情。 (在某些情况下仍然可能,例如说服您安装应用程序或证书是出于可疑原因)。
要完全避免这种情况,您可以使用certificate pinning确保无法使用其他证书重新加密您的连接。
您还应该尝试从设备外部进行mitm攻击,例如使用Charles之类的代理来有效地查看您的连接是否仍然安全。
*:SSL无法保证证书与域名之间的链接。它只保证签署连接的人应该信任。 (需要大量的盐。任何人都可以购买证书,几乎没有验证。)