我的一些個人總結
最主要的攻擊方式,另起一文詳細說明;
其實攻擊針對的主要還是服務端,畢竟拿到客戶端再多的資料使用者也不大;
很多介面對外開放許可權-導致不需要校驗既可以進行查詢(爬蟲抓資料),甚至是update、delete操作;
對來訪的ip做校驗,加ip/網域名稱黑白名單。對外部環境設定ip黑名單,對內部環境設定ip/網域名稱白名單;
使用上層服務檢測來訪請求中的引數資訊:b引數、c引數、登入資訊、token;
使用不加密的請求引數;
使用https的方式不正確(不理解……);
使用抓包工具/http除錯工具,篡改請求;
注意不要有開放訪問/修改許可權的檔案;
android的靜態檔案中字串要加密,防止篡改;
對發出的請求做校驗,只可以發出指定網域名稱的請求(android、ios有現成的方法,可以在官網上查到);
本地檔案(share preferences等)/資料庫中盡量不儲存資料,儲存資料時必須加密;
檢測如果是root許可權或者已經越獄的話,禁止啟動;
注意,有些第三方工具可以hook檢測越獄或者root的方法;
重要的**存在so中;
加殼,使用第三方加殼工具;
**混淆(聊勝於無);
過時的md4、md5等等等等,記不住了,網上解密的工具已經很成熟(cmd5)
不要自己定義乙個新的加密規則(本地可破解)
推薦3des、rsa(客戶端支付常使用),還有一種忘了……
登入資訊保持過長(也得看業務要求,維持個折中的方案)
驗證碼失效時間過長、驗證碼保持有效性的bug
更改鏈結命名
校驗來訪ip,自動加入(臨時)黑名單
beta測試時,注意設計這方面的測試用例;
使用工具adb直接呼叫activity,測試人員在beta測試中設計相關測試用例(不僅如此,使用adb直接調起activity後,可以自己設定引數發起特殊的請求進行sql注入等攻擊);
嚴格控制測試、除錯資訊發到線上,除錯入口在發布時必須關閉;
限制日誌的級別,測試人員必須注意
網際網路安全(二)
數字簽名 使用公鑰加密技術實現的用於鑑別數字資訊的方法,由資訊的傳送者產生的別人無法偽造的一段數字串,放鬆方用乙個雜湊函式從報文中生成報文摘要 digest 然後使用自己的私鑰對該摘要加密,加密後的摘要即時該報文的數字簽名。接收方需要用和加密是一樣的雜湊函式從接收到的報文中算出報文摘要,然後再用傳送...
網際網路安全加密
1.加密理解 加密型別 分為單向加密和雙向加密 加密演算法 演算法分為對稱性加密演算法和非對稱性加密 對稱性加密理解 對於對稱性加密演算法,資訊接收雙方都需事先知道密匙和加解密演算法且其密匙是相同的,之後便是對資料進行加解密了。非對稱性加密理解 非對稱演算法與之不同,傳送雙方a,b事先均生成一堆密匙...
移動網際網路的一些想法
最近做班車,閒來無事,天馬星空的亂想,想到了一些移動網際網路的一些想法和機會。現在移動網際網路是非常熱的一塊,也是大家競相投資的熱點,但仔細分析一下,有幾大模擬較火,一類是遊戲,個人小遊戲,切水果 憤怒小鳥 瘋狂列鳥等等 一類是與生活密切相關的,火車時刻表 我查查 日曆 讀書等等 一類是類似桌面類維...