WIKI

8.5 主机名弱校验漏洞检测

(1)描述

自定义HostnameVerifier类,却不实现verify方法验证域名,导致中间人攻击漏洞。

(2)风险等级

中危

(3)影响范围

所有

(4)检测方法

检测类型:静态分析

遍历查找所有实现了HostnameVerifier接口的自定义类并获取其路径,然后检测器成员函数verify的返回值。

(5)修复建议

自定义HostnameVerifier类并实现verify方法验证域名。

(6)参考资料

http://drops.wooyun.org/tips/3296

https://www.91ri.org/12534.html