1. 인터페이스는 키와 사용자 ID md5 암호화를 사용합니다. 그런 다음 암호화된 서명이 매개변수로 전달됩니다(이러한 간단한 암호화 방법이 안전한가요?).
2. 그러면 문제가 발생합니다. 사용자의 요청이 포착되면 다른 사람도 요청을 시뮬레이션할 수 있습니다. 그렇다면 요청이 자신의 APP에서 발행되었는지 어떻게 알 수 있습니까?
요청에 앱 정보만 포함되어 있으면 다른 사람도 시뮬레이션할 수 있습니다.
3. 인터페이스는 앱에서 전송되므로 사용자는 로컬 패키지를 가져와서만 이 정보를 볼 수 있습니다. 이제 사용자가 다른 사람의 패키지 요청을 쉽게 받을 수 있나요?
ringa_lee2017-05-16 13:12:43
웹 API의 통신 보안을 보호하기 위해 SSL을 사용하는 것이 좋습니다. 직접 구현하는 것도 나쁘지는 않지만 확실히 SSL만큼 안전하지는 않습니다. 귀하의 접근 방식은 중개인에 의해 모니터링되며 표지판은 직접 악용됩니다.
요청을 시뮬레이션할 수 있습니다. 상대방이 앱을 디컴파일하고 인증 과정을 이해했다면 확실히 시뮬레이션할 수 있습니다.
SSL 보호가 없으면 http는 일반 텍스트로 전송됩니다. 이 상황은 로컬에서만 모니터링할 수 없습니다. 통신 보안을 보호하기 위해 SSL을 사용하면 중개자에 의해 모니터링되지 않도록 할 수 있습니다. 나타나기 쉬운지는 앱의 가치에 따라 다릅니다.
중간자 모니터링 및 재생 공격에 대해 자세히 알아보려면 주제를 추천하세요
给我你的怀抱2017-05-16 13:12:43
키를 얻기 위한 특별한 인터페이스가 있는 걸 본 적이 있어요.
모든 인터페이스를 조정한 후 토큰은 키와 해당 매개변수 형식을 직접 사용하여 md5 암호화를 수행합니다. 즉, 매개변수에는 키가 없습니다.
일반적으로 패키지는 여러 번 요청되며 매개변수가 변경되고 토큰도 달라집니다.
또한 열쇠를 얻었다고 해도 상대방이 어떻게 조립하는지 모르면 소용이 없습니다.