Android网络请求中的安全问题

最新推荐文章于 2024-05-11 18:39:05 发布
最新推荐文章于 2024-05-11 18:39:05 发布
阅读量6k 收藏 7
点赞数 1
文章标签: android 网络 安全 加密 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mayqlzu/article/details/52690622
版权

以下是我在开发公司产品的时候遇到的问题,写下来备忘,有时间再整理格式;


加密和签名

 

我们的app和服务器有什么安全隐患?

1)窃听;如果你连接了不安全的免费wifi,然后登录我们的app

如果你的数据没有加密,你的密码是不是就可能被盗?

2)篡改;万一黑客截获了app给服务器发送的请求数据,然后

稍作修改,发送给服务器,实现修改服务器数据的目的;

3)重放;万一黑客截获了app给服务器发送的请求数据,(哪怕是

加密过的),然后冒充app向服务器发送重复的请求,服务器

会不会被堵死?

4)如果黑客反编译app,修改逻辑(比如放松一些前端的检查规则),

重新打包运行(运行在黑客自己的手机上,不需要重新签名),

由于没有动加密和签名机制,所以在server看来,请求完全来自

可信的app,咋办?

 

 

怎么解决?

针对问题1,我们的网络通信数据需要加密,这样黑客

就看不到真实数据了;

 

针对问题2,我们需要给数据加签名,如果黑客截获并

修改了数据,则服务器会发现解密后的数据和

原数据不匹配,知道这是一份被修改过的数据,拒绝处理;

 

针对问题3,据文献,https能防止重放攻击,但是我还没搞懂原理,TODO

 

针对问题4:所以说只在前端加限制是不够的,后端必须再做一次

检查,这样就没事了;

 

 

问题:我们现有的加密机制有什么问题?

答:我们现在用的是AES对称加密,黑客可以反编译代码,

看到算法和密钥,然后截获并破解密文;

 

问题:我们现有的签名机制有什么问题?

答:我们现在用的是MD5+密钥的算法,黑客可以反编译app获取算法

和密钥,然后冒充app发起请求;

 

问题:RSA密钥生成算法是怎样的?

答:

1)随机选取2个足够大的不同素数pq

(最好保证下文的n1024位二进制长度)

2)计算pq的乘积n;

3)计算n的欧拉函数r = (p-1)*(q-1);

4)随机取一个整数e,要求1 < e < r,且er互质;

5)计算e对于n的模反元素d

6)将(n,e)作为公钥,(n,d)作为私钥;(其实可以互换);

7)假设原数据是一个整数m,则加密结果为c=m^e%n;

8)解密过程是c^d%n,可以证明这个结果等于原数据m;

对于任意需要加密的字符串abc,我们可以将每个字母

分开,然后每个字母转成ASCII码

最低0.47元/天 解锁文章
mayqlzu
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
关于登陆时被截取用户密码的一点想法(出自新手,勿喷)
qq_16237925的博客
11-22 619
用户登录担心会被截取到用户的密码  不管你是用了MD5 还是别的加密  只要截取到那一段字符串就可以 我的想法是 :当用户访问我们的服务器时 先随机生成一串字符串或者直接用UUID生成一个随机数 把他存在session 当用户点击登录时 把这个值和密码用MD5处理 然后在后台验证 这样 截取了我们的字符串 下次过来访问的时候 我们又随机生成数存在session 他的字符串就匹配不上了
再探https与重放攻击
junyang2012的博客
09-14 2249
  最近浏览到一篇关于https是如何防范重放攻击的文章,感兴趣的可以详细看下,文章详细解释了其原理,但读完给我带来了一些疑惑——我们能否完全依赖https来防重放,进一步搜索,发现关于这个问题的说法不是很明确一致,于是决定在再探究下,便有了这篇文章。   本文将聚焦“我们能否完全依赖https来防重放”这个问题,尽可能做出准确的分析,同时也算提供验证资料准确性的一种参考。另外为了说明问题,会对相关概念、流程作以简述。 一、概念简介 1.1 https:是在http基础之上,引入TLS(安全传输层协议)/
2024年网络安全最全Android安全——客户端安全要点(1),快速学会
最新发布
2401_84264010的博客
05-11 588
在实际的渗透测试过程,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。HTTPS的主要思想是在不安全网络上创建一安全信道,并可在使用适当的加密包和服务器证书可被验证且可被信任时,对窃听和间人攻击提供合理的防护。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。该特性让应用可以在一个安全的声明性配置文件灵活的自定义其网络安全设置,而无需修改应用代码,满足更高的安全性要求。
Android开发,使用https发送安全请求的实现
Newsolider2012的专栏
11-04 2509
Androidhttps的实现
Android开发常见安全问题和解决方案
阿道夫的博客
12-31 1066
开发APP时经常有问到:“APP的安全怎么保障,应用程序被PJ了怎么办?手机被人捡去了怎么办?” 特别在号称“安全第一,风控牛逼”的银行系统内,移动产品安全性仍被持有怀疑态度。那我们来总结下APP安全的方向和具体知识。1.应用程序安全2.应用程序内敏感数据存储安全3.应用程序前后台数据报文传输安全以上是APP开发需要注意的安全问题。不要等到项目投产时再去统一检测和检查APP安全问题。项目启动时,安全的事宜就要做到心里有数了。
android studio 图片轮播_Android Studio 3.6 Windos、mac最新版安装教程图片
weixin_39601511的博客
10-27 73
Android Studio 3.6 Windos、mac最新版安装教程图片引言:本次Android环境搭建是用于开发Android应用程序,类似于淘宝,支付宝,QQ等程序制作.是不是感觉很厉害了呀安装前请确定是否安装JDK请参考: JDK14版本最新安装千锋实践训练营:JDK安装与环境变量配置​zhuanlan.zhihu.com系统要求windowsMicrosoft®Windows®7/8/...
Android Studio发起POST网络请求
05-10
Android应用开发,发起POST网络请求是与服务器交互的重要环节。Android Studio作为官方推荐的集成开发环境(IDE),提供了丰富的工具和库来简化这一过程。本文将详细讲解如何在Android Studio使用Java语言和...
Android-kotlin实现网络请求
08-13
Android开发网络请求获取的数据通常以JSON格式返回,Fastjson可以帮助我们快速解析JSON数据,将其转化为易于操作的Java对象,提高了开发效率。 3. **HandlerThread**: 在Android系统,主线程负责处理用户...
Android网络请求-sign参数的设置方式
08-19
Android网络请求,sign参数的设置方式是非常重要的。sign参数是指在请求参数添加一个签名,以确保请求安全性和唯一性。下面将详细介绍sign参数的设置方式。 首先,需要了解sign参数的生成规则。sign参数是...
Android网络请求框架
10-14
本篇文章将详细介绍几个常用的Android网络请求框架:OkHttp、Volley、HttpClient以及XUtils。 一、OkHttp OkHttp是由Square公司开发的一款高效的网络请求库,它具有以下特点: 1. **连接池**:OkHttp维护了一个...
Android网络请求OkHttp的使用demo代码
04-18
Android应用开发网络请求是必不可少的一部分,用于获取服务器数据、更新UI或者进行其他交互。OkHttp是一款高效的网络库,被广泛应用于Android项目。本篇将详细讲解如何在Android使用OkHttp进行网络请求,...
Andriod系统网络安全分析
12-09
谷歌安卓系统因为开源等各方面的优势,自一推出就颇受市场欢迎,以安卓为操作系统的智能手机占有率飞速增长。树大招风,这使得安卓智能手机成了手机病毒和恶意程序的新宠。网络安全隐患进一步蔓延安卓系统手机。
Android 项目网络安全配置知识记录
m0_71746416的博客
01-09 650
AndroidAndroid 9(Pie)之后将网络通信默认配置为禁止了明文传输
Android App 安全登录认证解决方案
热门推荐
赵小贱的博客
03-07 2万+
       基于Android App 安全登录认证解决方案近几年移动互联网的高速发展,智能手机的使用用户呈现爆炸性增长,手机终端上的App 种类繁多,大多数App 都需要与后台系统进行交互,交互的第一步需要进行登录认证,过于简单的认证方式可能被破解从而造成用户信息的泄露甚至威胁着用户的财产安全。为此基于Android 系统,对比现有几种常见的App 登录认证方式,并提出一种采用RSA 非对称加...
Androidhttp请求加密机制详解
gvvbn的专栏
11-09 1万+
Android开发,难免会遇到需要加解密一些数据内容存到本地文件、或者通过网络传输到其他服务器和设备的问题,但并不是使用了加密就绝对安全了,如果加密函数使用不正确,加密数据很容易受到逆向破解攻击。还有很多开发者没有意识到的加密算法的问题。 1、需要了解的基本概念   密码学的三大作用:加密( Encryption)、认证(Authentication),鉴定(Identif
Android通信安全之HTTPS
xiangzhihong8的专栏
03-07 2280
HttpsHTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL
【转】Android Framework Parser:failed to collect preference classes PermGen space
jiangnankid的专栏
06-08 8444
http://bbs.csdn.net/topics/390756937?page=1 eclipse目录下面的eclipse.ini 最下面那几行 -vmargs -Xms256m -Xmx800m 把内存改大点儿
APP接口开发token安全请求校验规则
weixin_33858485的博客
03-30 1130
移动应用开发过程请求服务端采用token(在计算机身份认证是令牌(临时))方式请求方式进行,get请求方式下token直接暴露在请求路径很容易被别人利用进行篡改进行重复提交等,怎样保证移动端安全成为后台开发者所面临的问题,,因为涉及敏感行业数据APP接口开发过程安全性成为要求,在网上看了很多资料最后选择采用token+time+no...
Android 网络请求框架
09-13
5. FastAndroidNetworking:FastAndroidNetworking是一个快速、容易使用的Android网络请求库,支持多种请求方式和回调机制。 以上只是一小部分常用的网络请求框架,具体选择哪个框架可以根据项目需求、个人习惯和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值