我正在创建一个通过API连接到服务器的Android应用。我担心安全问题,就我而言,任何人都可以反编译您.apk
的代码并查看或修改您的代码。
知道了这一点,我需要将 API 密钥保存在应用程序中的什么位置,以避免某些坏人窃取它并访问服务器,例如修改我的数据库?
谢谢
了解攻击者将如何追踪您的应用程序,95% 的时间按以下顺序:
使用诸如Burp之类的拦截代理来检查应用程序与服务器之间的流量-非常容易做到。看我怎么做这件事是词与朋友在这里(这是为iOS设备,但与Android相同的概念作品)。
您可以使用证书锁定来停止流量检查,但他们可以通过在设备上扎根并在 Android 上使用一些黑客工具来破坏它。所以你需要Android root 检测。
另一种攻击是扫描您的二进制文件。您需要使用 DexGuard 之类的工具对其进行混淆。
这些方法都不是防弹的:通常试图在客户端代码中隐藏秘密是一场失败的游戏。不要付出超过其价值的努力。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句