新人,想请问一个关于app安全的有关问题
新人求助,想请教一个关于app安全的问题。
最近公司有一个新的app项目,客户问到了app安全性的问题,一般我发布app只是进行了代码混淆,但是我发现一个问题,如图
混淆代码之后发布成apk,我自己反编译以后发现这些网络接口并没有被混淆,访问数据库的网络请求的接口会带有一个token,只有用户登陆后才能访问那些网络接口,所以相对来讲是安全的。
但是像我图中下面那一个网络接口,读取服务器上的文件,直接使用网络连接就可以读取,这样如果我的app被反编译,那么这些链接岂不是都暴露了?大家一般开发过程是怎么解决的呢?
本人刚工作不久,不太了解,还请各位大牛不吝赐教。。
------解决思路----------------------
加壳,或者将比较重要的字符也通过服务器端获取
------解决思路----------------------
请求的时候没有相应的参数传递么?如果只是简单的获取信息的就不需要害怕存在安全问题吧,就像www.baidu.com不是人人都知道,所以不需要在意
------解决思路----------------------
首先,通过拼接的方式去请求,这样无论如何别人都拿不到完整的链接。
其次,对参数进行加解密,特别是一些重要的参数,可进行多重加密。
最近公司有一个新的app项目,客户问到了app安全性的问题,一般我发布app只是进行了代码混淆,但是我发现一个问题,如图
混淆代码之后发布成apk,我自己反编译以后发现这些网络接口并没有被混淆,访问数据库的网络请求的接口会带有一个token,只有用户登陆后才能访问那些网络接口,所以相对来讲是安全的。
但是像我图中下面那一个网络接口,读取服务器上的文件,直接使用网络连接就可以读取,这样如果我的app被反编译,那么这些链接岂不是都暴露了?大家一般开发过程是怎么解决的呢?
本人刚工作不久,不太了解,还请各位大牛不吝赐教。。
------解决思路----------------------
加壳,或者将比较重要的字符也通过服务器端获取
------解决思路----------------------
请求的时候没有相应的参数传递么?如果只是简单的获取信息的就不需要害怕存在安全问题吧,就像www.baidu.com不是人人都知道,所以不需要在意
------解决思路----------------------
首先,通过拼接的方式去请求,这样无论如何别人都拿不到完整的链接。
其次,对参数进行加解密,特别是一些重要的参数,可进行多重加密。