APP接口加密的问题

csdn醒哥 2013-12-26 11:36:27

公司在开发一个IOS，我负责写网站后台，现在有一些接口实现的功能涉及到修改数据，所以要保密。

保密方式：
1.IOS加密访问，不是加密参数是加密访问(无法非法获取访问痕迹)，没接触过，不知道如何实现。
2.参数加密，访问接口之前，先在WEB获取一个加密字符串(A)，然后IOS解密得出(B)，访问接口时带上参数（B），WEB访问数据库验证（B）。

就想到那么多，主流验证是怎样的，有没有一个方法能不用数据库啊。

...全文

1122 5 打赏收藏转发到动态举报

写回复

5 条回复

切换为时间正序

请发表友善的回复…

发表回复

罗Loe 2016-09-03

打赏
举报

回复

不知道楼主搞定了没？把解决方法贴出来，给我们学习学习啊

csdn醒哥 2013-12-26

打赏
举报

回复

引用 3 楼 diandianxiyu 的回复:

楼主跟我的情况一样，一起学习吧

好的，给点建议啊

小雨青年 2013-12-26

打赏
举报

回复

楼主跟我的情况一样，一起学习吧

csdn醒哥 2013-12-26

打赏
举报

回复

引用 1 楼 staryjk 的回复:

使用AES或者DES都可以进行加密啊

你有用过RSA吗，能否给你示例

staryjk 2013-12-26

打赏
举报

回复

使用AES或者DES都可以进行加密啊

在自动化测试中经常会遇到的一个痛点就是,报文传输加密. 有一些系统,从安全的角度考虑,后端是无法解析明文的,必须收到的是密文然后解密,才能做下一步操作. 在测试环境,有些后端改个参数,可以实现接收明文,但是也有一些系统,必须修改大量代码,才能实现接收明文的效果,而做自动化测试的一个原则之一便是尽量不要因为做自动化而让开发修改代码 . 今天以我司手机银行app为例, 讲解报文加密问题解决的方法. 加密类型分析一般手机银行的APP加密可以分为: 登录密码加密, 报文传输加密, 支付密码加密. 登录密码加

服务端与客户端进行http通讯时，为了防止被爬虫，数据安全性等，引入APP通信加密，简单来说，就是引入签名sign，APP的所有请求都会经过加密签名校验流程。由于引入签名sign请求头，我们在测APP接口的时候，不填签名数据的话，都会被服务端加密签名校验所拦截，这对我们测接口造成了极大的困扰。你可以将生成加密数据做成一个api提供给小伙伴使用，传入待加密的请求报文，返回加密数据，小伙伴复制粘贴加密数据到请求头，即可完成接口测试。询问开发具体的加密过程，复写一套加密算法，自己生成加密数据。

业务场景：如果app是明文请求，例如article?page=1&&page=10 一旦被别人劫持请求之后，那么攻击方可以修改参数，模拟你的请求page=2...page=3 这样的话，可以拿到你app的所有文章数据。建议用AES数据请求加密，然后返回值加密。 java实现方案： 1：设计一个Filter，对请求参数解密 2：把请求参数，放到controller...

逆向工程是一件痛并快乐着的过程 ~请不要转载~ 今天看到某款App的数据挺诱人的，本着探索精神，就尝试了一下接口，发现每次请求都会被限制 1、时间戳限制（算个屁） 2、参数md5加密（反编译）还带押韵呢~ 可以看出，对方使用了参数拼接md5的方式，一开始尝试在三方网站暴力解密该md5，发现根本不行，还差点被骗了100块钱，哪个网站我就不说了，大家最好不要在md5解密网站充值！ ...

目前app服务器端通信基本上采用的是加密的算法来传输数据包，防止数据包在传输的过程中被篡改，app加密传输方式一般采用硬编码在apk和服务端，可以解决通过逆向被获取，为了保证服务端的安全性，需要截获app与服务端间的通信，进行重放操作和改包，由于数据包被加密，即使安全人员取得了加密方式，也需要每个包进行解密操作才能进行安全测试，因此还需要使用多个工具协调测试导致测试效率低，不方便进行接口分析。 “...

20,398

社区成员

19,656

社区内容

发帖

与我相关

我的任务

phpphpstorm 技术论坛（原bbs）

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章