2

My PhoneGap android 应用程序需要用户登录,它需要在登录后向用户显示某些信息。(应用程序从 PHP 服务器检索 XML,使用 AJAX)

我搜索了许多博客/论坛和许多 stackoverflow 帖子,试图提出最好的安全选项/功能。我想实现以下安全选项。

  • 使用 HTTPS (http +ssl) 保护流量
  • [服务器端] 用户代理检查。
  • 对 phonegap JS 文件进行 CRC 检查,并将结果与​​信息请求一起发送。然后让服务器将 CRC 结果与应有的结果进行比较。(所以如果有人反编译了应用程序,更改了代码,然后再次编译......我们会知道)
  • 该应用程序只能从服务器请求数据。并且不删除/更新任何数据。
  • 混淆/加密javascript文件......只是为了让它更难de

如果Phonegap可以做到以下几点

  • 将 android UID/设备 ID 添加到我的数据库中。因此,只有列入白名单的设备才能访问。

我应该使用更多的安全功能吗?

4

1 回答 1

2
  1. HTTPS 必须用于会话的生命周期。OWASP A9
  2. 用户代理是攻击者控制的变量。检查这个变量是没有意义的,因为它很容易被欺骗。
  3. CRC 不是安全的散列函数。绕过此检查我进行修改然后添加填充以创建相同的 CRC 是微不足道的。如果用户修改了您的应用程序,则可以删除您的废话 CRC 检查。
  4. 服务器必须强制执行访问控制,假设攻击者可以向您发送任何请求。
  5. 尽管默默无闻,但不要依赖(不)安全。
  6. 用户可以发送他们想要的任何请求,因此他们可以欺骗此标识符。

攻击者不必修改您的 JavaScript 即可修改 HTTP 请求。攻击者可以使用 BURP 代理或类似工具在请求到达您的服务器之前拦截和修改请求。阅读OWASP 前 10 名,确保您的后端 API 没有常见缺陷。

于 2013-04-05T15:42:33.833 回答