威胁产生原因:应用未正确实现证书校验且数据未做保护的情况下也未使用HTTPS证书绑定技术客户端信任第三方证书后在链路上解密应用与服务器通信的请求包和响应包请求包
威胁产生后果:当应用遭受中间人攻击时攻击者可以获取登录身份认证等流量的明文信息,攻击者可以实现数据篡改同时存在隐私泄漏风险
建议修复方法:HTTPS 证书绑定主要分为两种,一种是通过证书进行绑定,另一种是通过证书公钥进行绑定。在客户端与服务器进行 HTTPS 密钥协商过程中服务器会将证书发送给客户端,如果客户端设置了 HTTPS 证书绑定,客户端就会去比较该服务器的证书是否与绑定的证书一致或者比较公钥是否一致,相同才会继续通信否则拒绝连接,通过这一方法可以有效避免流量被其它服务器劫持。应使用AFNetworking网络框架
网友评论