Insecure TLS certificate validation (accept self-signed certificate)
不安全的 TLS 证书验证(接受自签名证书)
描述
该应用程序接受自签名证书,使其容易受到中间人(MITM)攻击。
建议
默认情况下,SSL 证书会经过验证。如果您的应用程序并非如此,请考虑:
- 避免篡改 SSL 类: 避免重写 TrustManager 或 SSLSocketFactory 以允许无效证书。
- 证书锁定(Certificate Pinning): 实施证书锁定,以确保应用程序仅接受来自受信任来源的证书。通过在应用程序中硬编码或存储受信任的证书,它可以在 SSL/TLS 握手过程中验证服务器证书的真实性,从而防止使用自签名证书的 MITM 攻击。
链接
标准
- PCI_STANDARDS:
- REQ_2_2
- REQ_4_2
- REQ_11_3
- SOC2_CONTROLS:
- CC_2_1
- CC_4_1
- CC_7_1
- CC_7_2
- CC_7_4
- CC_7_5
- HIPAA_CONTROLS:
- SECURITY252
- SECURITY212
- SECURITY213