问题标签 [android-network-security-config]

我想修改AOSP来捕获我ROM上安装的APP的网络流量和文件操作行为。我已将 rom 安装到我的 nexus_6p。我不知道如何修改 AOSP 以捕获（或记录）网络流量，因为我不太擅长 android 开发。请告诉我在哪里或如何修改它。如果有文章，也可以发。谢谢

我不是恶意开发者，这只是我的项目，它检测到可疑的 apk，这个项目不会被公开。

再次感谢！

为了实现证书固定，我设置了以下基于Android 文档测试 Flutter 的网络安全性：

请注意，我指定了domain-configfor api.somesite.com。所以应用程序应该只接受somesite.com证书。

请注意，android:networkSecurityConfig="@xml/network_security_config"设置在AndroidManifest.xml.

为了测试固定证书，我对两个端点进行了两次 HTTP 调用。一个来自api.somesite.com，另一个是随机 api。

但是，两个 API 端点都使用网络安全设置工作。

我不确定我做错了什么以及为什么遵循 Android 文档来固定证书似乎对颤振本身没有任何影响。

任何帮助将非常感激。

我的应用程序有免费和付费两种口味。现在我们正在向在模拟服务器中运行的付费版本添加测试，我们需要以明文形式与其通信，因此尝试仅在 androidTestPaid 中添加网络安全配置（我们在主源根目录中没有） . 不幸的是，配置似乎被完全忽略了。

androidTestPaid/AndroidManifest.xml

androidTestPaid/res/xml/network_security_config.xml

在我们的 gradle 文件中，我们不会对特定于风味的 android 测试的源集做任何事情，但我们会为基础 android 测试做任何事情。这会导致问题吗？

构建.gradle

什么会阻止在我们的测试中使用此配置？

这是我的 MainActivity，我已经在 onstart 中注册了我的网络调用。在此代码中，无论设备是否打开互联网 wifi，都不会调用onUnavailable() 。我想在单击一个按钮后检查互联网，如果连接了互联网，它将继续进行下一个活动，否则没有

此命令还ConnectivityManager.requestNetwork(networkRequest, networkCallback, 3000)需要 Api 级别 21 +，超时时间为 3 秒。

我创建了一个向用户显示特定站点的应用程序，并且我正在使用 Web 视图来完成该任务。当我尝试加载该特定站点的 web 视图时，没有显示任何内容，并且 log cat 说，

E/chromium: [ERROR:ssl_client_socket_impl.cc(946)] 握手失败；返回 -1，SSL 错误代码 1，net_error -202

因此，经过一番搜索，我找到了忽略此 SSL 证书错误并使用以下代码的答案，我可以加载该站点。

当我发送error.toString()给日志猫时，它说，

主要错误：3 证书：颁发给：[该特定站点公司的一些详细信息] 颁发者：CN=GeoTrust RSA CA 2018,OU=www.digicert.com,O=DigiCert Inc,C=US; 在 URL 上：[那个特定的站点 url]

但我想在不忽略的情况下修复该错误。

正如前面提到的堆栈溢出答案，我无法匹配https://developer.android.com/training/articles/security-config的详细信息来解决这个问题而不忽略它。我应该如何使用网络配置来解决这个问题？

注意：- 我只想使用一个特定的站点。无需与任何网站合作

由于某种原因，我需要让用户在运行时输入 url 并让它成为白名单 url，因此需要将其写入<domain>network-security-config.xml 中。找到了类似的问题，但没有答案。

谢谢你。

我有一些有线要求，

我开发了一个移动应用程序，我将交付给不同的客户。该应用程序将与客户本地服务器交换数据。

但在此，在创建 APK 构建时，我们在 network_security_config.xml 中硬编码域/IP，因为 android 在 Android 7 之后提供了额外的安全性。

问题：

如何在此配置文件中配置动态 IP 地址，以便在运行时交换来自不同服务器的数据。

我想从 https://url 下载一个 apk 文件。当我第一次尝试下载时，它说

所以我搜索了互联网并添加了 network_secuirty_config.xml 文件。

现在的错误是

我已经搜索了所有地方，但找不到解决错误的方法。这是我的下载管理器请求入队代码。

PS：-我在应用程序中为普通的 https 请求添加了主机名验证器，这就是我发送 https 请求的方式。

我正在尝试构建一个转换货币的应用程序。我使用公共 API 来访问货币兑换功能。当我调试我的代码时，由于这个网络安全错误，我无法查看收到的 JSON 对象。我在这里查看了其他帖子，并尝试通过在 AndriodManifest.xml 文件中包含android:usesCleartextTraffic="true"和uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"来修复它。这是调试输出的图像：image

这是我的代码文件。

AndriodManifest.xml：

MainActivity.java：

RetrofitBuilder.java：

RetrofitInterface.java：

如果我们将哈希指定为纯文本，是否容易对应用程序进行逆向工程并检查它所针对的证书network_security_config.xml？我遇到了一种观点，即此类常量应该以字节数组的形式存储在应用程序中，以使攻击者更难推理、应用程序中发生了什么以及它不想与之交谈的原因他的服务器。然后可以将该字节数组转换为混淆代码中某处的适当字符串。当然，它并不能阻止攻击，但它会使攻击变得更加困难。在 Android 上实施证书固定时，最佳实践是什么？