前言:对于现在快速发展的互联网大环境,直接在用户手机上运行的软件比服务器后台相比更有可能给黑客攻击,鉴于我对这一块不是很了解,今天看了巧神的书,随便记录下,就当做学习笔记。
1、黑客如何截取传输用户基本信息的呢
1.1、现在市场上有很多应用都需要联网,通过服务端进行通信,获取最新 的信息并且展示出来,黑客可以在mac 上使用 Charles(http://www.charlesproxy.com)软件来将自己的电脑设置成为代理服务器,从而截取所有网络请求。在win上使用Fiddler(http://www.telerik.com/fiddler)。就算是HTTPS的加密加密通信,也可以从中间人攻击来截取通讯的内容。
1.2、登录注册等包含用户密码的请求最后用post方式进行请求。get的方式是明文传输,很容易暴露用户信息资料。
2、如何预防用户信息泄露
应该先生成一度加密的公私钥,客户端登录的时候使用公钥将用户密码加密后,把密文发到后台服务器,服务端使用之前定义好的私钥进行解密,然后里面可以用自己公司内部的加密方式如:加盐,md5,rsa等方式进行在加一次密,就算黑客截取到用户密文,没有私钥进行解密还是不能修改的,这个和我使用支付包的方式一样,这个之前搞了挺长时间的,各种问题存在,不过实现后,个人感觉这个加密方式还是很好的,因此也对支付包又有了点信心。那么黑客没有办法破解,只能是暴力尝试,也是无法从中间还原回来,以保证用户密码安全。
3、关于本地数据的安全以及程序文件的安全问题这个目前我还不了解,因此在这边先做个笔记,后面研究后补上。
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
