提交用戶的隱私數(shù)據(jù)
一定要使用POST請求提交用戶的隱私數(shù)據(jù)
GET請求的所有參數(shù)都直接暴露在URL中
請求的URL一般會記錄在服務(wù)器的訪問日志中
服務(wù)器的訪問日志是黑客攻擊的重點對象之一
用戶的隱私數(shù)據(jù)
登錄密碼
銀行賬號
… …
僅僅用POST請求提交用戶的隱私數(shù)據(jù)斤富,還是不能完全解決安全問題
可以利用軟件(比如Charles)設(shè)置代理服務(wù)器,攔截查看手機的請求數(shù)據(jù)
因此:提交用戶的隱私數(shù)據(jù)時,一定不要明文提交,要加密處理后再提交
常見的加密算法
加密算法的選擇
一般公司都會有一套自己的加密方案,按照公司接口文檔的規(guī)定去加密
什么是MD5
全稱是Message Digest Algorithm 5浓恶,譯為“消息摘要算法第5版”
效果:對輸入信息生成唯一的128位散列值(32個字符)
MD5的特點
輸入兩個不同的明文不會得到相同的輸出值
根據(jù)輸出值,不能得到原始的明文,即其過程不可逆
MD5的應(yīng)用
由于MD5加密算法具有較好的安全性稿辙,而且免費,因此該加密算法被廣泛使用
主要運用在數(shù)字簽名气忠、文件完整性驗證以及口令加密等方面
MD5改進
現(xiàn)在的MD5已不再是絕對安全邻储,對此,可以對MD5稍作改進旧噪,以增加解密的難度
加鹽(Salt):在明文的固定位置插入隨機串吨娜,然后再進行MD5
先加密,后亂序:先對明文進行MD5淘钟,然后對加密得到的MD5串的字符進行亂序
… …
總之宗旨就是:黑客就算攻破了數(shù)據(jù)庫宦赠,也無法解密出正確的明文
1> 加密對象:隱私數(shù)據(jù),比如密碼、銀行信息
2> 加密方案
* 提交隱私數(shù)據(jù)勾扭,必須用POST請求
* 使用加密算法對隱私數(shù)據(jù)進行加密缤骨,比如MD5
3> 加密增強:為了加大破解的難度
* 對明文進行2次MD5 : MD5(MD5(pass))?先對明文撒鹽,再進行MD5:MD5(pass.$salt)
2.本地存儲加密
1> 加密對象:重要的數(shù)據(jù)尺借,比如游戲數(shù)據(jù)
3.代碼安全問題
1> 現(xiàn)在已經(jīng)有工具和技術(shù)能反編譯出源代碼:逆向工程
* 反編譯出來的都是純C語言的绊起,可讀性不高
* 最起碼能知道源代碼里面用的是哪些框架
2> 參考書籍:《iOS逆向工程》
3> 解決方案:發(fā)布之前對代碼進行混淆
* 混淆之前
混淆之后
MD5加密實例
導(dǎo)入加密文件
上圖為2017年最新的視頻教程資料,搜索235再填上214最后輸入9755加我好友私聊我上傳視頻教程燎斩,有什么不懂的也可以來私聊問我虱歪。
不定時更新中。
如果你能明白這些視頻資料的好差栅表,那么你也算是入行了笋鄙,底層和中高層就是這一步之差。
