最近在整理技术点的时候发现电脑上存有一些知识点的记录,是以前在开发的过程中遇到的一些问题,现在再重新梳理了出来
项目需求:防止webview里面的数据被抓包,给app中的webview也加上https校验,防止攻击
https校验原理、加密原理、证书制作等已经有很多文章介绍,相信大家已经很熟悉了;本文只讲在多家服务器资源访问的情况下对web实现https校验的部分。
一、相关知识点
- 一般情况下很多公司对于ATS的web content设置都是打开了的,没有对证书进行校验,或者只是做了单向的证书校验,这样的话伪造一个假的有效证书web部分是很容易被别人抓到包的,这次要说的是web content设置为NO,并且是双向验证,采用的是证书锁定的校验模式,证书锁定需要客户端本地也存储一份证书,工作原理是首先会验证域名有效期等信息,其次会验证本地证书和服务器证书是否一致,一致则握手链接,不一致则断开链接,如果设置了代理并且即使配置了一个非当前公司服务器的有效证书也无法抓到数据,可以达到防止中间人攻击的效果。
- 不管上面app采用哪一种校验方式,都是由服务器配置参数clientAuth来决定:
| 参数 | 描述 |
|---|---|
| clientAuth=false | 单向SSL验证 |
| clientAuth=true | 双向SSL验证 |
| clientAuth=want | 不强制验证客户端证书 |
二、实现过程
下面展示的是常规的web双向https校验
SecTrustResultType result;
SecTrustSetAnchorCertificates(serverTrust, (__bridge CFArrayRef)pinnedCerts);
OSStatus status = SecTrustEvaluate(serverTrust, &result);
if (status == errSecSuccess &&
(result == kSecTrustResultProceed ||
result == kSecTrustResultUnspecified)) {
NSURLCredential *card = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
completionHandler(NSURLSessionAuthChallengeUseCredential,card);
} else {
completionHandler(NSURLSessionAuthChallengeCancelAuthenticationChallenge, nil);
}
- 以上就是常规的web实现https双向校验,但是运用到目前的项目一直校验失败;正常来说当web通过https请求数据的时候,服务器会返回全部证书链,一个域名和一个证书是一一对应的,不能更改,而一个证书链里面又会包含有几级证书,根证书-二级证书-…..,目前我们web请求返回的每个证书链里面有3级证书;最后经过调试才发现某一个h5页面在加载的时候,返回了除了我们公司自己的证书以外还返回了阿里云的证书(*.oss.aliyuncs.com),并且每个h5界面返回的证书顺序还可能不一样,返回的第一个证书链可能是我们公司自己的证书链,也可能是oss阿里云的,顺序不一定,这就是问题所在,所以当前h5页面校验会失败无法正常打开。
-
更改思路,通过CFBridgingRelease(SecCertificateCopySubjectSummary(SecTrustGetCertificateAtIndex(challenge.protectionSpace.serverTrust, 0)))取出服务器证书的概要信息,判断如果是当前自己公司域名下的证书,那么进行校验,不是比如oss阿里云的不校验,直接信任通过,经过测试不管自己服务器证书链在哪个顺序或者有没有都可以正常显示,并且测试无法抓包:
在这里插入图片描述 - 如果比如上面返回了oss.aliyun.com的证书,那么在plist中加上这个白名单就不会有阿里云的证书链返回了,就不需要进行校验,这样也是一种思路。
三、最终实现的代码如下
//从证书链中获取概要信息
NSString *summary = CFBridgingRelease(SecCertificateCopySubjectSummary(SecTrustGetCertificateAtIndex(challenge.protectionSpace.serverTrust, 0)));
NSLog(@"当前请求证书概要=%@",summary);
//获取信任管理对象,里面包含了待验证的证书,和自定义的策略
SecTrustRef serverTrust = challenge.protectionSpace.serverTrust;
if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
if ([summary containsString:@".xxxx.com"]) {
NSString *path = [[NSBundle mainBundle] pathForResource:@"xxxx" ofType:@"der"];
NSData *certData = [NSData dataWithContentsOfFile:path];
//从der数据中创建证书对象
NSMutableArray *pinnedCerts = [NSMutableArray arrayWithObjects:(__bridge_transfer id)SecCertificateCreateWithData(NULL, (__bridge CFDataRef)certData), nil];
SecTrustResultType result;
SecTrustSetAnchorCertificates(serverTrust, (__bridge CFArrayRef)pinnedCerts);
OSStatus status = SecTrustEvaluate(serverTrust, &result);
if (status == errSecSuccess &&
(result == kSecTrustResultProceed ||
result == kSecTrustResultUnspecified)) {
NSURLCredential *card = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
completionHandler(NSURLSessionAuthChallengeUseCredential,card);
} else {
//中断本次链接
completionHandler(NSURLSessionAuthChallengeCancelAuthenticationChallenge, nil);
}
}else {
NSURLCredential *card = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
completionHandler(NSURLSessionAuthChallengeUseCredential,card);
}
}else {
NSURLCredential *card = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
completionHandler(NSURLSessionAuthChallengePerformDefaultHandling, card);
}
四、拓展
1.经过测试对于设置了web的ATS=NO,plist是否加白名单情况:
(1)加了白名单
不管是https还是http都可以正常访问,由于设置了ATS=NO,必需校验,代理会收到校验的回调
(2)未加白名单
a、https可以访问,前提条件(1)这个域名服务器证书有效没有过期(2)webview的校验代理没有和本地证书匹配,直接通过,比如不是自己公司的域名访问
b、http无法正常访问
2.除了web当时还考虑到图片的安全性问题;比如某个二维码支付界面或者好友头像,抓包工具中设置的其它有效证书那么也就能抓到图片,查看源码知道SDWebimage是不校验本地证书的,所以如果要考虑图片的安全性需要改这里的源码,和webview中校验的方法一样就可以了,原理相同。
ps:除了以上校验客户端和服务端的证书全部信息以外,还可以通过 SecTrustCopyPublicKey(trust) 取出各自证书信息里面的公钥进行对比,也是可以达到同样的效果,这里就不再细说了,感兴趣的同学可以自己尝试一下。
