安全性問題
1.明文--->加密:事先卒废,生成一個(gè)隊(duì)用于加密的公司秘鑰,客戶端登錄時(shí)宙地,是用公鑰將用戶密碼加密后摔认,將密文件輸?shù)椒?wù)器。服務(wù)器是用私鑰將密碼解密宅粥,然后加鹽参袱,之后多次請求MD5,之后和服務(wù)器原來存儲(chǔ)的密碼對比秽梅,一致抹蚀,則成功。如果黑客獲取了密文企垦,如果沒有私鑰环壤,也無法是用
2.通訊協(xié)議被破解
3.應(yīng)用內(nèi)支付憑證
iOS應(yīng)用內(nèi)支付(IAP)
越獄后的手機(jī)沒有沙盒的保護(hù),黑客可以對系統(tǒng)進(jìn)行任意的修改钞诡,所以在支付過程中郑现,蘋果返回的支付款的憑證可能是偽造的∮担客戶端拿到付款憑證后接箫,還需要將憑證上傳到自己的服務(wù)器上,進(jìn)行二次驗(yàn)證
蘋果的支付憑證并不包含用戶的任何賬號(hào)信息誊抛,所以我們的應(yīng)用和服務(wù)器無法知道這個(gè)憑證是誰買的列牺,而只能知道這個(gè)憑證是真的還是假的,所以認(rèn)證憑證時(shí)拗窃,那個(gè)賬號(hào)發(fā)起了請求瞎领,我們就默認(rèn)為這個(gè)憑證是該賬號(hào)擁有的。如果何可將憑證接貨随夸,就可以為妝成真實(shí)用戶來驗(yàn)證憑證或者轉(zhuǎn)手出售
4.程序文件的安全
js文件九默,在項(xiàng)目解壓,可以看到其內(nèi)容
本地文件
5.源代碼的安全
IDA反匯編的工具—制作注冊機(jī)宾毒,加入木馬出售—>采用宏混淆驼修,關(guān)鍵邏輯用純c實(shí)現(xiàn)
