Logan android SDK安全检测漏洞问题

Question

Closed this issue 5 months ago · 0 comments

漏洞描述应用使用了 HostnameVerifier 接口，并修改了 verify 的实现，但是没有对传入的域名进行合理检查，此问题可能导致中间人攻击，可以参考： (1) https://support.google.com/faqs/answer/7188426 (2) https://developer.android.com/privacy-and-security/risks/unsafe-hostname

修复方案--
发现漏洞数1
漏洞线索
1: Lcom/dianping/logan/k$a;->verify(Ljava/lang/String; Ljavax/net/ssl/SSLSession;)Z