本文主要介绍安卓应用通信安全的测试方法和步骤。文中用到的 vuls 漏洞应用及代码可以在 https://github.com/AndroidAppSec/vuls/releases/tag/v2.1 中下载。
二、安全测试
主要是测试应用是否存在中间人(MITM)攻击的风险。对于 https 来说,取决于是否做了正确的证书校验,一般来说主要包含两个方面:签发的CA是否为系统所信任、请求的域名信息是否为证书中所包含的域名。
1、校验接口
在做证书校验的时候,有两个接口很重要。
一个是 javax.net.ssl.X509TrustManager ,用来校验证书是否被信任。通常会校验 CA 是否为系统内置权威机构,证书有效期等。这个接口有三个方法,分别用来校验客户端证书、校验服务端证书、获取可信证书数组。
通常系统信任的证书会被安装在以下的目录中:
另一个是javax.net.ssl.HostnameVerifier ,其只有一个方法,用来校验域名信息。通常会比对当前请求的域名是否在证书的常用名称(CN)和主题备用名称(Subject Alternative Name)中。
2、错误实现
对于开发者来说,在测试环境中,通常会使用自签名的证书。正常情况下是无法进行 https 通信的,于是很多开发者就会在代码中忽略证书错误。但是在上生产环境的时候,又忘记去掉相关的代码,就会出现 https 通信被中间人攻击的情况。
以下是一段典型的忽略证书错误的写法,在 TrustManager 中不做任何校验,在HostnameVerifier 中总是返回域名正确。
此时的 https 通信与 http 通信效果无异,都会受到中间人攻击。
3、测试
这里使用 burp suite 来进行测试。保证手机和 burp 在同一个 wifi 中,设置手机的代理为 burp,如下:
1)、测试自签名证书
设置 burp 代理如下,
可以使用以下命令查看当前证书的信息:
openssl s_client -proxy 192.168.8.233:8080 -connect baidu.com:443 | openssl x509 -noout -subject -issuer
depth=1 C = PortSwigger, ST = PortSwigger, L = PortSwigger, O = PortSwigger, OU = PortSwigger CA, CN = PortSwigger CA
verify error:num=19:self signed certificate in certificate chain
subject=C = PortSwigger, O = PortSwigger, OU = PortSwigger CA,CN = baidu.com
issuer=C = PortSwigger, ST = PortSwigger, L = PortSwigger, O = PortSwigger, OU = PortSwigger CA, CN = PortSwigger CA
此时如果 burp 能够抓取到请求数据包,则说明应用信任自签名证书,会受到中间人攻击。
上图为使用 vuls (自己编写的漏洞测试 APP )中的相应测试功能。
2)、测试域名校验
安装 burp 的根证书到手机中。
首先,导出 burp 根证书。
保存为 burp.crt,并 push 到手机中。
adb push ~/Desktop/burp.crt /sdcard/
然后在手机中的安装 burp 根证书,操作路径为设置-》安全-》从 SD 卡安装。
安装成功后,可以在信任证书中看到 burp 根证书。
配置 burp 证书如下:
此时,应该能正常抓取到 https 请求了。
为了测试域名校验,我们在代码中添加以下校验代码:
虽然我们请求的是 https://www.baidu.com,但只有当域名为 www.google.com 的时候,才通过验证。
可以使用以下命令查看当前证书的信息:
openssl s_client -proxy 192.168.8.233:8080 -connect www.baidu.com:443 | openssl x509 -noout -subject -issuer
depth=1 C = PortSwigger, ST = PortSwigger, L = PortSwigger, O = PortSwigger, OU = PortSwigger CA, CN = PortSwigger CA
verify error:num=19:self signed certificate in certificate chain
subject=C = PortSwigger, O = PortSwigger, OU = PortSwigger CA,CN = www.baidu.com
issuer=C = PortSwigger, ST = PortSwigger, L = PortSwigger, O = PortSwigger, OU = PortSwigger CA, CN = PortSwigger CA
从上面可见,CN 为 www.baidu.com,与www.google.com不符,这样我们直接请求的时候就会失败。
为了通过验证,我们设置 burp 证书如下,
使用以下命令查看当前证书的信息:
openssl s_client -proxy 192.168.8.233:8080 -connect www.baidu.com:443 | openssl x509 -noout -subject -issuer
depth=1 C = PortSwigger, ST = PortSwigger, L = PortSwigger, O = PortSwigger, OU = PortSwigger CA, CN = PortSwigger CA
verify error:num=19:self signed certificate in certificate chain
subject=C = PortSwigger, O = PortSwigger, OU = PortSwigger CA,CN = www.google.com
issuer=C = PortSwigger, ST = PortSwigger, L = PortSwigger, O = PortSwigger, OU = PortSwigger CA, CN = PortSwigger CA
CN 已变为 www.google.com,同时也能正确抓取数据包了。
参考:
https://developer.android.com/training/articles/security-ssl
https://sushi2k.gitbooks.io/the-owasp-mobile-security-testing-guide/content/0x05g-Testing-Network-Communication.html
https://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html
欢迎关注微信公众号 “安卓APP安全测试”
网友评论