代码审计证书

⑴ 在手机'设置'中'安全'中的'从SD卡中安装证书'的'证书'指什么

https证书有效性验证引发的安全问题

超级试驾员
阅198转02019-01-16分享收藏
前言：
在实际项目代码审计中发现，目前很多手机银行虽然使用了https通信方式，但是只是简单的调用而已，并未对SSL证书有效性做验证。在攻击者看来，这种漏洞让https形同虚设，可以轻易获取手机用户的明文通信信息。
手机银行开发人员在开发过程中为了解决ssl证书报错的问题（使用了自己生成了证书后，客户端发现证书无法与系统可信根CA形成信任链，出现了 CertificateException等异常。），会在客户端代码中信任客户端中所有证书的方式：
public static HttpClient getWapHttpClient() {
try {
KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
trustStore.load(null, null);
SSLSocketFactory sf = new MySSLSocketFactory(trustStore);
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
//此处信任手机中的所有证书，包括用户安装的第三方证书
HttpParams params = new BasicHttpParams();
HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);
HttpProtocolParams.setContentCharset(params, HTTP.UTF_8);
SchemeRegistry registry = new SchemeRegistry();
registry.register(new Scheme(“http”, PlainSocketFactory.getSocketFactory(), 80));
registry.register(new Scheme(“https”, sf, 443));
ClientConnectionManager ccm = new ThreadSafeClientConnManager(params, registry);
return new DefaultHttpClient(ccm, params);
} catch (Exception e) {
return new DefaultHttpClient();
}
}
而在客户端中覆盖google默认的证书检查机制（X509TrustManager），并且在代码中无任何校验SSL证书有效性相关代码：
public class MySSLSocketFactory extends SSLSocketFactory {
SSLContext sslContext = SSLContext.getInstance(“TLS”);
public MySSLSocketFactory(KeyStore truststore) throws NoSuchAlgorithmException, KeyManagementException, KeyStoreException, UnrecoverableKeyException {
super(truststore);
TrustManager tm = new X509TrustManager() {
public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
}
//客户端并未对SSL证书的有效性进行校验，并且使用了自定义方法的方式覆盖android自带的校验方法
public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
}
public X509Certificate[] getAcceptedIssuers() {
return null;
}
};
sslContext.init(null, new TrustManager[] { tm }, null);
}
问题出来了：
如果用户手机中安装了一个恶意证书，那么就可以通过中间人攻击的方式进行窃听用户通信以及修改request或者response中的数据。
手机银行中间人攻击过程：
1 客户端在启动时，传输数据之前需要客户端与服务端之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。
2 中间人在此过程中将客户端请求服务器的握手信息拦截后，模拟客户端请求给服务器（将自己支持的一套加密规则发送给服务器），服务器会从中选出一组加密算法与HASH算法，并将自己的身份信息以证书的形式发回给客户端。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息。
3 而此时中间人会拦截下服务端返回给客户端的证书信息，并替换成自己的证书信息。
4 客户端得到中间人的response后，会选择以中间人的证书进行加密数据传输。
5 中间人在得到客户端的请求数据后，以自己的证书进行解密。
6 在经过窃听或者是修改请求数据后，再模拟客户端加密请求数据传给服务端。就此完成整个中间人攻击的过程。
以fiddler工具模拟中间人攻击为例：
1 首先在手机中装入fiddler根证书：
导出fiddler的根证书：

将fiddler根证书放入手机的SD卡中，然后在手机设置-安全中选择从SD卡中安装证书：

成功安装fiddler根证书到手机上：

2 在PC端打开fiddler，将手机通信代理到PC端fiddler所监听的端口上（可以在wifi中的高级设置中设置代理），这样手机银行的所有通信均会被fiddler监听到。
3 启动手机银行客户端，会在fiddler中查看到所有请求的明文数据，并且可以进行修改后转发，成功将https加密绕过。

防护办法：
使用CA机构颁发证书的方式可行，但是如果与实际情况相结合来看的话，时间和成本太高，所以目前很少有用此办法来做。由于手机银行服务器其实是固定的，所以证书也是固定的，可以使用“证书或公钥锁定”的办法来防护证书有效性未作验证的问题。
具体实现：
1 公钥锁定
将证书公钥写入客户端apk中，https通信时检查服务端传输时证书公钥与apk中是否一致。
public final class PubKeyManager implements X509TrustManager{private static String PUB_KEY = “″ +”″ +”” +”″ +”″ +”″ +”″ +
“″ +
“” +
“″;
//锁定证书公钥在apk中
public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException
{
if (chain == null) {
throw new IllegalArgumentException(“checkServerTrusted: X509Certificate array is null”);
}
if (!(chain.length > 0)) {
throw new IllegalArgumentException(“checkServerTrusted: X509Certificate is empty”);
}
if (!(null != authType && authType.equalsIgnoreCase(“RSA”))) {
throw new CertificateException(“checkServerTrusted: AuthType is not RSA”);
}
// Perform customary SSL/TLS checks
try {
TrustManagerFactory tmf = TrustManagerFactory.getInstance(“X509″);
tmf.init((KeyStore) null);
for (TrustManager trustManager : tmf.getTrustManagers()) {
((X509TrustManager) trustManager).checkServerTrusted(chain, authType);
}
} catch (Exception e) {
throw new CertificateException(e);
}
// Hack ahead: BigInteger and toString(). We know a DER encoded Public Key begins
// with 0×30 (ASN.1 SEQUENCE and CONSTRUCTED), so there is no leading 0×00 to drop.
RSAPublicKey pubkey = (RSAPublicKey) chain[0].getPublicKey();
String encoded = new BigInteger(1 /* positive */, pubkey.getEncoded()).toString(16);
// Pin it!
final boolean expected = PUB_KEY.equalsIgnoreCase(encoded);
if (!expected) {
throw new CertificateException(“checkServerTrusted: Expected public key: ”
+ PUB_KEY + “, got public key:” + encoded);
}
}
}
}
2 证书锁定：
即为客户端颁发公钥证书存放在手机客户端中，在https通信时，在客户端代码中固定去取证书信息，不是从服务端中获取。

⑵ AlphaSSL证书适合什么样的网站GlobalSign的证书呢

适用于个人及中小型企业。

解释原因：

1. GlobalSign拥有Alphassl相同的信任体系。

2. AlphaSSL属于GlobalSign品牌证书，是唯一拥全球CRL节点的CA机构，其中包括有中国CRL节点的服务器，所以非常适合中国互联网使用。

3. 可信CA机构SSL证书会被浏览器信任，同样会保护网站安全，避免网站劫持。

4. AlphaSSL SSL证书具备顶级CA操作系统默认根证书，可以信任更加古老的浏览器。

5. AlphaSSL根证书与网络搜索使用的GlobalSign一模一样，所以可以达到相同信任级别。

6. GlobalSign是一家声誉卓著、备受信赖的CA中心。

7. GlobalSign源自美国，现已属于GMO集团下的业务。

8. GlobalSign通过使用SHA-256和最低2048位RSA密钥提供了最强加密服务。

9. GlobalSign SSL提供持续的安全服务。与Netcraft建立合作伙伴关系提供网络钓鱼警报服务，如果您的网站上检测到网络钓鱼攻击将给予通知。

10. GlobalSign SSL受信于每个主流的浏览器、 应用程序和设备。访客，无论它们使用什么设备将自动信任您的SSL安全。

11. GlobalSign自2001年以来，每年通过WebTrust审计。

解决办法：可以在Gworg拿到GlobalSign或者AlphaSSL证书部署到服务器。

⑶ Java可以考哪些含金量高的证书

SCJP是提供的针对J2SE的两项认证之一，另一个是SCJD。CJP主要考察开发人员掌握Java的基本知识和语法，包括数据库连接、Swing、I/O、网络编程等知识。需要有扎实的基础知识才可以顺利通过。

⑷ 什么是Digicert ssl证书

SSL证书是由数字证书审来核验证颁发的源，这种颁发SSL证书的机构又叫CA，是一个受信任的数字证书颁发机构。只有通过WebTrust国际安全审计认证，根证书才能预装到主流浏览器，成为全球可信的SSL证书颁发机构。

DigiCert是业内最古老的根证书之一，兼容所有主流浏览器，兼容所有操作系统、安卓、苹果等平台。是美国老牌的CA认证中心，提供SSL证书和SSL管理工具十多年，DigiCert旗下拥有DigiCert，Symantec，Geotrust，Thawte，Rapid 5大SSL证书品牌，是全球领先的数字证书提供商。

解决方法：Digicert数字证书在ssln拥有多个ssl证书类型

⑸ 考CISA证书都有什么条件（比如：学历流程）

提供从事信息系统审计、控制与安全工作5 年以上经验的证明。具有下列经验者，可申请替代部分年限，并出示适当的证明：

具备如下资历者，可以申请替代(最长达)1 年的信息系统审计、控制与安全的工作经验要求：

1、满1 年的非信息系统审计工作经验，或满1 年的信息系统工作经验，和/或具有大专学历（大学60 个学分或同等学历）。

2、拥有学士学位（大学120 个学分或同等学历）者，可以替代2 年信息系统审计、控制与安全工作经验。

3、2 年相关领域（计算机科学、会计、审计、信息系统审计等）大学专职讲师经验可以替代1 年信息系统审计、控制与安全工作经验。无最高可代替年限限制（6 年大学讲师经验可以代替3 年信息系统审计、控制与安全工作的经验）。

专业经验必须在申请前的10 年之内获得，或在第一次通过考试之日的前5 年之内。认证申请必须在通过CISA 考试的5 年之内提出。所有专业经验都必须由原雇主独立地签字确认。

从ISACA网站网页上获取报名表。应当用黑色墨水笔工整填写或打印。字迹要清楚。请确认考试中心代码正确，并根据需要选择考试中使用语言的版本。在填完报名表并付款后，ISACA将寄给考生 CISA考试报名的回执信与一份《CISA考试考生指南》。投递时间为6个星期。

(5)代码审计证书扩展阅读：

证书荣誉：

1、专业顶尖的标志

获得CISA 认证有助于确立你作为一名合格的信息系统审计、控制和安全专业人才的声誉。不 论你是希望提高你的工作表现还是得到职务升迁，拥有CISA 资格证书都会使你拥有他人无法企及的竞争优势。

2、雇主渴求的人才

由于CISA 持证人能够熟练掌握当今需要的最先进的技能，雇主更愿意雇用和留住那些达到并能够维持 资格证书所要求水平的人才。对于雇主而言CISA 认证确保其雇员拥有胜任当前工作所必需的最新教育与实践经验。

3、全球的认可

也许本认证对于你当前的工作并不是绝对必需的 ，然而越来越多的机构希望员工得到CISA 认证。为了确保你在全球职业市场上的成功，选择一个建立在全球认可的技术实务基础上的 认证是至关重要的。CISA 就是这种认证。

CISA 作为信息系统审计、控制与安全专业人员的资格证书，受到全世界信息系统审计、控制和安 全行业的广泛认可。

⑹ java代码审计工程师是做什么的

代码审计：顾名思义就是检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地方，通过自动化工具或者人工审查的方式，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。

⑺ Digicert的EV 代码签名证书比普通代码签名证书有什么优势

与OV代码签名证书相比，EV代码签名证书的审核更加严格，功能更加强大。与OV代码签名证书相比，EV代码签名证书更具优势。

因为代码签名证书可以支持windows内核驱动签名、微软硬件，表盘等账户注册登录使用EV代码签名证书可以增强软件的安全性，防止用户放弃安装，并且增加下载率，有助于增强用户的信任。

⑻ 代码证年检需要提交审计报告吗

不会的，只要营业执照，法人身份证，代码证，经办人身份证（以上所有的原件及复印件）跟公章，都是只要这些的

⑼ Digicert的EV代码签名证书有什么优势

代码签名证书是数字证书的一种，它是通过对代码进行有效的“签名”，来标识软件来源的安全性及软件开发者的真实身份，给用户提供一个安全的应用软件环境。EV代码签名证书是其中的一种类型，它是按照更加严格的国际审计标准来审核，和EV SSL证书一样严格，因此安全级别也是最高的。

申请Digicert的EV代码签名证书的优势：

1）防止代码被恶意篡改或破坏，保护了代码的完整性。

2）有效避免Windows发出错误消息和安全警告。

3）验证软件发布者的真实身份，确保软件来源的真实性，提升了用户体验度，给个人或企业树立了可信赖的形象，有利于提升软件的下载和使用率。

⑽ php脚本编程学到什么阶段可以转做代码审计师挖漏洞呢一般到达代码审计阶段要多长时间

这个不好说 貌似只学php的没去做这个的