ssl - J2EE 没有主题替代名称绝地复仇-6ren

ssl - J2EE 没有主题替代名称绝地复仇

转载作者：太空宇宙更新时间：2023-11-03 14:41:43

25

4

场景，我正在处理一个一团糟的网络服务器(不，我不控制这部分，我必须玩游戏，这是由世界上最大的软件供应商之一编写的)

默认情况下，网络服务器有 2 个 SSL 服务，每个服务可能有一个完全不同的 SSL 证书

证书A签名算法:sha1WithRSAEncryptionRSA key 强度:1024

主题:*.dummy.nodomain颁发者:*.dummy.nodomain

证书B签名算法:sha1WithRSAEncryptionRSA key 强度:2048

主题:vhcalnplcs_NPL_01发行人:root_NPL

按照本页的例子

public List<String> doPostWithSSL(String direction, String dataToSend, String contentType, boolean OverrideSecurityVerifications) {
        try {
            URL url = new URL(direction);
            List<String> webcontent = new ArrayList();

            HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();
            conn.setRequestMethod("POST");
            conn.setRequestProperty("Host", getHostByUrl(direction));
            conn = new UserAgentsLibrary().getRandomUserAgent(conn);

            if (contentType != null) {
                conn.setRequestProperty("Content-Type", contentType);
            } else {
                conn.setRequestProperty("Content-Type", "application/x-www-form-urlencoded");
            }

            conn.setDoOutput(true);

            if (OverrideSecurityVerifications) {
                try {
                    TrustManager[] trustAllCerts;
                    trustAllCerts = new TrustManager[]{new X509TrustManager() {
                        @Override
                        public X509Certificate[] getAcceptedIssuers() {
                            return new X509Certificate[0];
                        }

                        @Override
                        public void checkClientTrusted(X509Certificate[] certs, String authType) throws CertificateException {
                        }

                        @Override
                        public void checkServerTrusted(X509Certificate[] certs, String authType) throws CertificateException {
                        }

                    }};

                    // We want to override the SSL verifications
                    SSLContext ctx = SSLContext.getInstance("TLS");
                    ctx.init(null, trustAllCerts, null);
                    SSLSocketFactory factory = ctx.getSocketFactory();



                    conn.setDefaultSSLSocketFactory(ctx.getSocketFactory());
                    HostnameVerifier allHostsValid = (String hostname1, SSLSession session) -> true;
                    conn.setDefaultHostnameVerifier(allHostsValid);

                    conn.setSSLSocketFactory(factory);

                } catch (KeyManagementException kex) {
                    System.out.println("[+] Error bypassing SSL Security " + kex.getMessage());
                } catch (NoSuchAlgorithmException nsex) {
                    System.out.println("[+] Error forgeting TLS " + nsex.getMessage());
                }

            }

            OutputStreamWriter wr = new OutputStreamWriter(conn.getOutputStream());
            wr.write(dataToSend);
            wr.flush();

            BufferedReader rd = new BufferedReader(new InputStreamReader(conn.getInputStream()));
            String line;

            while ((line = rd.readLine()) != null) { //todo+=line+"\n";            
                webcontent.add(line);
            }

            wr.close();
            rd.close();
            return webcontent;

        } catch (MalformedURLException mex) {
            System.out.println("[+] Error: I received a malformed URL");
            return null;
        } catch (SSLHandshakeException sslex) {
            System.out.println("[+] Error: SSL Handshake Error!" + sslex.getMessage());
            return null;
        } catch (IOException ioex) {
            System.out.println("[+] Error: Input/Output Error!" + ioex.getMessage());
            return null;
        }
    }

我能够使我的程序与证书 B 一起工作(这里没有问题)但是我不能让它与证书 A 一起工作(我怀疑 * 给我带来了麻烦)

需要考虑的事情

这是一个示例代码，不要寻找不相关的细节；)
是的，我知道此代码容易受到 MITM 攻击并且已警告用户
不，我不想将证书添加到我的 keystore !
我使用的是纯 J2EE 代码，我不想使用任何非标准代码
我想找到适用于 Windows、Mac 和 Linux 的解决方案

过去有人遇到过这个问题，你能帮帮我吗？

最佳答案

昨天太累了

替换了 conn.setDefaultHostnameVerifier(allHostsValid);通过 conn.setHostnameVerifier(allHostsValid);

现在即使是带有通配符的证书也可以使用了!

关于ssl - J2EE 没有主题替代名称绝地复仇，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/42592392/

25

4

0

文章推荐： rest - 解析服务器 SSL IIS

文章推荐： python - 从单词列表中计算元音并将数字作为列表返回

文章推荐： wordpress - 来自 Facebook 的 http 图片破坏了 https 证书

文章推荐： ssl - Chromecast 上的 Html5 音频 - SSL

c++ - 如何将字符串数组的值分配给 "Name"+ #，例如。名称 1、名称 2、名称 3 等。C++
我正在尝试做这样的事情:Name[i] = "Name"+ (i+1) 在 forloop 中，这样数组的值将是:Name[0] = Name1，Name[1] = Name2，Name[2] = N
javascript - 如何从Javascript或JQuery获取Grails中的 Action 名称(或 View 名称)
我读了here，在GSP中我们可以这样写: ${params.action} 从GSP中，我们可以使用${params.action}作为参数调用Javascript函数(请参阅here)。是否有其
java - 如何解析名称=值^^名称=值^^名称=值
我的问题:非常具体。我正在尝试想出解析以下文本的最简单方法: ^^domain=domain_value^^version=version_value^^account_type=account_ty
cakephp 路由修改 Controller 名称/获取 Controller 名称
我创建了一条与此类似的路线: Router::connect("/backend/:controller/:action/*"); 现在我想将符合此模式的每个 Controller 路由重命名为类似
sql - 警告 SQL71502 - 过程 <名称> 具有对对象 <名称> 的未解析引用
我在 Visual Studio 2013 项目中收到以下警告: SQL71502 - Procedure has an unresolved reference to object 最佳答案这可以
c# - 名称/值 .NET 集合或 .NET 名称/值字典？
任何人都可以指导我使用名称/值 .NET 集合或 .NET 名称/值字典以获得最佳性能吗？请问最好的方法是什么？我的应用程序是 ASP.NET、WCF/WF Web 应用程序。每个集合应该有 10 到
php - Zend Framework 2中如何获取 Controller 名称、 Action 名称
我在 Zend Framework 2 中有一个默认模块: namespace Application\Controller; use Zend\Mvc\Controller\AbstractActi
javascript - 在 javascript 中，这是一个有效的结构吗？ : document. 名称.名称.值？
这是表格: 关于javascript - 在 javascript 中，这是一个有效的结构吗？ : document. 名称.名称.值？，我们在Stack Overflow上找到一个类似的
asp.net-mvc - 给定 htmlHelper + Action 名称，如何找出 Controller 名称？
HtmlHelper.ActionLink(htmlhelper,string linktext,string action) 如何找出正确的路线？如果我有这个=> HtmlHelper.Actio
javascript - Angular Directive(指令) > 动态 Controller 名称 > 插值 Controller 名称
我需要一些有关如何将 Controller 定义传递给嵌套在 outer 指令中的 inner 指令的帮助。请参阅http://plnkr.co/edit/Om2vKdvEty9euGXJ5qan一个
algorithm - 排行榜的高效数据结构，即记录列表(名称、积分) - 高效搜索(名称)、搜索(排名)和更新(积分)
请提出一个数据结构来表示内存中的记录列表。每条记录由以下部分组成: 用户名积分排名(基于积分)- 可选字段- 可以存储在记录中或可以动态计算数据结构应该支持高效实现以下操作: Insert(re
apache-spark - Spark : Union can only be performed on tables with the compatible column types. 结构<名称，ID> != 结构
错误 : 联合只能在具有兼容列类型的表上执行。结构(层:字符串，skyward_number:字符串，skyward_points:字符串)<> 结构(skyward_number:字符串，层:字符
scala - 名称/惰性函数的重复参数
我想要一个包含可变数量函数的函数，但我希望在实际使用它们之前不要对它们求值。我可以使用 () => type 语法，但我更愿意使用 => type 语法，因为它似乎是为延迟评估而定制的。当我尝试这样
当前本地键盘映射的 Emacs 名称？
我正在编写一个 elisp 函数，它将给定键永久绑定(bind)到当前主要模式的键盘映射中的给定命令。例如， (define-key python-mode-map [C-f1] 'pytho
r - “名称”属性的长度必须与向量的长度相同
卡在R中的错误上。 Error in names(x) <- value : 'names' attribute must be the same length as the ve
python - 正则表达式从字符串中提取用户名/名称
我有字符串，其中包含名称，有时在字符串中包含用户名，后跟日期时间戳: GN1RLWFH0546-2020-04-10-18-09-52-563945.txt JOHN-DOE-2020-04-10-1
c# - 名称 `Array'在当前上下文中不存在
有人知道为什么我会收到此错误吗？这显示将我的项目升级到新版本的Unity3d之后。 Error CS0103: The name `Array' does not exist in the curre
Delphi:从数据集中读取列数+名称？
由于 Embarcadero 的 NNTP 服务器从昨天开始就停止响应，我想我可以在这里问:我使用非数据库感知网格，我需要循环遍历数据集以提取列数、它们的名称、数量行数以及每行中每个字段的值。我知道
android - 在根项目的gradle子项目中设置Android版本代码/名称
在构建Android应用程序的子项目中，我试图根据根build.gradle中的变量设置版本代码/名称。子项目build.gradle: apply plugin: 'com.android.app
javascript - 如何在不使用硬编码字符串的情况下传递javascript属性(名称)？
示例用例: 我有一个带有属性“myProperty”的对象，具有 getter 和 setter(自 EcmaScript 5 起支持“Property Getters 和 Setters”:http

首页

博学

6Ren·AI

商城