APP和后端HTTP通信加密思路

最新推荐文章于 2023-08-06 16:09:54 发布
最新推荐文章于 2023-08-06 16:09:54 发布
阅读量2.2k 收藏 2
点赞数
文章标签: 接口加密 app安全 RSA AES HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38758695/article/details/80665507
版权

这篇博客主要介绍笔者做app加密的具体思路

1.浅谈https

    https是目前应用最广泛的接口通信加密方式之一了,优点我就不说了(大家自行百度)。

    主要的两个缺点 a.有一定的技术门槛 b.花钱(最不想用的东西无非是太难或者太贵)

2.常用的加密算法

    1.MD5   

    2. AES 

    3. RSA  

    4.DES (3DES就是用3个不同的秘钥进行3次DES加密) 

    5.SHA-1

    简单地说2和4是对称(能加密能解密)的,1,3,5非对称,1存在暴力破解的可能性,3(公钥只能加密,私钥能加解密)

    任何一种加密方式都不是完美的,都有其应用方向,虽然MD5存在暴力破解的可能性,但是在笔者接触的大多数app和web项目中它却是现在应用次数最多的加密方式 . 一般通过增加加密次数来提高安全系数,例如:MD5(MD5(x))

    大多数产品提高安全性能的思路之一就是增加犯罪成本,加密也是如此。

3.确认加密的内容

    1.  关键信息是否单独加密 例:手机号,身份号,卡号,金额,具体什么是关键信息只能根据业务去判断

    2.  是否全报文加密

               不采用全报文加密意味着你的接口信息总是暴露的

               采用全报文加密会增加服务器的开销,也不能完全保证接口安全

 4.简单加密方案

        1.在app端生成一个随机码 R

        2.用AES+R加密全报文,比如得到加密后全报文data

        3.用RSA+公钥加密R,比如得到RR(app不保存R)

        4.data+RR

        后端解密就是反向操作了,

    由于RSA开销远大于AES所以只用RSA加解密随机码,用AES加密报文

 5.复杂加密方案

        上述的简单加密方案存在一个的风险,由于秘钥不固定不保存,所以一旦发生秘钥解密失败我们就无法获取报文内容。大部分时候当我们受到dos攻击时都是在报文里寻找攻击者的信息,所以大部分系统都不会采用动态的秘钥。

        一旦秘钥确定了加上安卓解包,理论上说接口是能破解的,所以接口安全的思路有一部分是在方法调用上设计

        1.混淆方法名,将aes加密方法名改成rsa,混淆秘钥名,将aes的秘钥命名为RSA_KEY

            混淆各种加密加密方法和秘钥就像郭靖当前写给欧阳锋的九阴真经一样

        2.让秘钥更加可控,首先将秘钥分类例如ZMK(主密钥简称Z)MARK(关键信息加密M),TMK(全报文加密T)用不同的秘钥加密不同的信息,秘钥本身也是密文的,存在后端数据库或者缓存,所有秘钥都受到主密钥的保护,主密钥可以设置分量保护。这样在APP端获取密文秘钥后解密成明文秘钥就不是件容易的事了。秘钥可以采用部分永久有效+部分时效性秘钥,当然这和你对系统的安全性要求是一致的,笔者接触过的系统中有一个用户一套秘钥,也有整个系统就一套秘钥。

        笔者也是新人,才学疏浅,经验不足,希望多多指正

卷毛能上天
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何使用Wireshark分析解密后的手机APP以及PC软件的HTTPS加密流量
村中少年的专栏
06-02 3137
使用mitmproxy解密SSL流量配合Wireshark进行分析,包括手机,PC软件,浏览器的流量
java采用注解方式将JavaBean转换为XML并采用AES全报文加密
Jack 架构师之路
09-01 780
引言 上一篇博客中介绍了怎么获得签名,在这篇博客中将介绍如何采用注解方式将JavaBean转换为XML并采用AES全报文加密。 首先看一下生成的xml报文格式。 <?xml version="1.0" encoding="utf-8"?> <Message> <Sys_Head> <TRAN_CODE>CMS02CMS658...
基于原生前端和Python Flask后端的文件服务器源码+使用说明+详细注释.zip
10-12
【资源说明】 基于原生前端和Python Flask后端的文件服务器源码+使用说明+详细注释.zip 一、简介 基于原生前端和 Python Flask 后端的文件服务器,可远程访问、下载和上传文件,可用于某一设备向其他设备开放的文件访问。局域网搭配内网穿透可实现公网访问。<br> (2023.04.09 更新:本项目仅推荐在 windows 环境下使用。读取硬盘分区的代码不是跨平台的,在其他系统可能出现未知问题。另外,本项目我没有继续更新的意愿,但如果你遇到了 bug 或者提交 pull requests,我会第一时间响应) 二、说明 最开始是想着,实现电脑不在身边的时候直接访问、操作电脑文件。等到做完了才想起来用 ftp 协议配置也更方便,也更稳定;但既然都做完了(;′⌒`)...也就权当一个练手项目吧。<br> 使用 http 实现确实麻烦了,但正好也能用最近学的前端知识做一做交互界面。使用 Windows 自带的 ftp 服务或网上的其他 ftp 客户端 UI 也就那样,自己从零设计 ftp 服务客户端又太麻烦了,选择前端 http 实现正好可以满足 UI 这个需求。<br> 同时不同设备访问只需要浏览器就可以了。~~当然移动端体验可能不太好,因为我没做移动端网页(懒),但是用还是能用的...~~ (2021.09.15 更新:增加了移动端适配,移动端使用体验大幅提升) 三、功能 (1)~~炫酷、人性化使用界面,赏心悦目(划掉)~~<br><br> (2)类似 ftp 服务的文件访问、下载和上传功能,没有删除(没这个需求) 四、使用 (1)安装依赖: ```cmd pip install flask ``` (2)[app.py](app.py) 中设置 SECRET_KEY 值,关于该值 flask 官方的说明: > SECRET_KEY 配置变量是通用密钥,可在 Flask 和多个第三方扩展中使用,如其名所示,加密的强度取决于变量值的随机密度。<br> > 不同的程序要使用不同的密钥,而且要保证其他人不知道你所用的字符串,其主要作用应该是在各种加密过程中加盐以增加安全性。在实际应用中最好将这个参数存储为系统环境变量。 建议通过随机方法获取值,采用系统变量方式存储,然后使用 `os.getenv('SECRET_KEY')` 读取<br><br> (3)定义登录用户名和密码:给 [app.py](app.py) 中的 `SPECIFY_UNAME` `SPECIFY_UPWD` 常量赋值<br><br> (4)运行 [app.py](app.py) 【备注】 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可直接用于毕设、课设、作业等。 欢迎下载,沟通交流,互相学习,共同进步!
详谈HTTPHTTPS的加密
长岛冰茶去冰的博客
03-22 8226
详细介绍HTTP协议并讲述自己所理解的HTTPS加密,如有理解不对或不全面的地方,希望大家指正!
总结一些网站加密混淆技术
静觅
04-28 4056
“ 阅读本文大概需要 10分钟。 ”我们在爬取网站的时候,经常会遇到各种各样类似加密的情形,比如说:某个网站的 URL 带有一些看不太懂的长串加密参数,要抓取就必须要懂得这些参数是怎么...
某款app请求数据解密过程
热门推荐
u012400139的专栏
08-17 1万+
有一款app需要分析其中请求数据的加密方法:   Fiddler设代理之后点击手机上的查询按钮开始抓包,看到只发送一个请求: POST http://211.139.145.137/businessHsh/hshShop/account/accountOpen/getNumberList.jsps HTTP/1.1 Accept: application/json Accept-Enco...
APP HTTP接口报文的加密与压缩
巴萨,足球的艺术
08-10 3119
在做APP类的产品时,整个业务逻辑通常都会放在服务端,客户端大部分仅用来展示。  在客户端与服务端的交互过程中,报文的安全及流量的节约相对来说就显得比较重要。   本文展示如何通过3DES对报文进行加密,并通过Nginx自带的gzip对报文进行压缩。 一: 加密规则及流程 二: nginx 开启gzip配置    gzip  on;     gzip_min_length
小程序中对http请求进行加密处理
qq_37017864的博客
03-26 1942
1. 前言 我们使用http协议传输数据很容易被抓包,项目中做了活动模块,里面有很多敏感信息,所以需要对传输的数据进行加密。使用方法是大家常用的,用md5 和AES 加密方式,小程序端和后端约定好加解密的秘钥,小程序端在传输数据前先对请求参数进行md5加密,然后再进行AES加密得到的数据放入请求头部信息中,后端得到数据后进行解密,最后解密信息经过比对成功后才返回请求数据,否则返回数据有误提示。虽然...
Android项目中http数据传输加密问题方案以及NDK编译加密算法
vigoss_xianyu的博客
09-05 475
项目中app和后台服务交互基本是用http请求方式,在调取接口的信息传递基本是明文,这样的数据很容易被抓包看到数据,恶意的用户可能通过抓到的数据修改不可用数据,调取接口,这样是项目不允许的。 参考之前银行的项目,在交易的过程,会涉及到很多隐私的信息,这里处理方案是在传递过程中,加了一个锁标示,这个锁标示是由当前传递参数+系统时间+用户唯一标示加密生成,后台接受到参数,然后按照同样的加密方式得到的值
【WEB逆向】前端全报文加密的分析技巧
Vincent_zhang1949的博客
08-06 975
由于前端全报文加密,无法从变量的全文搜索来快速定位加密函数对加密参数的定位(全局搜索还有个弊病是编码混淆的js也不能全局搜到,需要进一步分析判定混淆的编码形式后再全局搜编码后的变量名),因此可利用xhr断点全局拦截(或针对某个请求),从调用栈中寻找加密函数的调用并分析其加密逻辑。2调用栈中最上层是最后被调用的方法。然后就进入流程了,且本次正是拦截器里完成请求与响应加解密流程的例子~,至此,分析就结束了,关闭所有断点,让进程直接继续执行,burp拦截一下请求简单对比下加密报文和头,就可以继续其他操作了。
securechat:加密的Messenger应用
05-13
截图:下面的链接使用我的后端发送消息,建议您构建自己的应用程序和后端以提高安全性,因为您将对其使用的服务有更多控制权(可以免费在Expo上发布该应用程序) PlayStore上的SecureChat:在AppStore上的SecureChat...
大三安卓课设-基于Kotlin编写的饥了么外卖APP源码+sql数据库+项目说明+设计报告.zip
11-23
大三安卓课设-基于Kotlin编写的饥了么外卖APP源码+sql数据库+项目说明+设计报告.zip 客户端使用Android Studio编译器,Kotlin为主要语言。 | 系统组成部分 | 功能概括 | 完成情况 | | -------------------- | ------...
THI-App:官方THI-App使用的REST API的反向工程文档,以及基于React和Next.js的基于Web的替代
02-25
应用程序这是Technische Hochschule Ingolstadt的官方应用程序使用的REST... Rogue THI应用程序还包括一个API游乐场,用于处理会话生成和API通信。归因即使该项目的开发人员是THI的StudVer(学生代表)的一部分,该项目
基于微信小程序的基于微信小程序炸鸡外卖app(java)hsg.zip
06-11
安全与稳定性:确保应用具备良好的安全性和稳定性,例如采用HTTPS加密通信、防止SQL注入攻击等措施。同时,定期进行系统维护和更新,修复已知漏洞。通过以上功能模块和技术架构的设计,您可以构建一个基于微信小...
报文数据加密
混子
09-15 1912
渗透测试,总是能遇到请求包或者响应包数据加密,每次遇到这种情况,都感觉很麻烦,网上一搜就是js逆向,一看就是半天,难顶,主要是可能还看不会,对于一些会代码的师傅可能还好一点,就是有点费事,但对于一些不太会代码的师傅,真的是无从下手。由于最近总是能遇到加密,每次都要来一遍,我也有点顶不住,甚至还有的加密很复杂,还找不到头绪,感觉效率有点低,于是总结了一下,想到一个不错的方法,不会代码感觉应该也可以搞,且看我骚。
Springboot项目报文加密(采用AESRSA动态加密策略)
qq_38254635的博客
03-28 2668
这种现象虽不太会发生,但秘钥一旦泄露,或被恶意攻破,会导致客户信息泄露,后果是很严重的。目的:为每一次的会话,生成只有会话的前后端知道的AES秘钥,会话与会话之前秘钥不相同。如果单采用AES对报文加密,虽然可行,但是存在风险,于是就想到了采用组合加密的形式。具体思路:前后端互相交换RSA公钥、私钥。然后再进行AES秘钥交换。如果秘钥泄露,那每一次的会话及请求的报文,则无异于暴露在外。在项目安全扫描中,发现仅采用秘钥加密的形式存在安全隐患。AES是对称加密,而RSA是非对称加密
报文加解密原理_通讯安全 - TLS基本原理
weixin_39720181的博客
11-30 491
㈠ TLS 的成长史TLS 全称为Transport Layer Security,意指传输层安全,是解决网络安全的重量级武器。传输层安全最早由网景公司所开发,那时的名字还不叫TLS,而是SSL Secure Sockets Layer,即安全套接字层。 TCP/IP 的四层模型,如下图所示。从SSL 字面意思,安全套接字,我们可以理解 SSL 是位于传输层之上,也就是传输层和应用层之间。从这个设...
加密算法——报文通信过程中数据加密方法的总结
lihaiyan_seal的博客
07-09 1807
原文地址: https://blog.csdn.net/suxinpingtao51/article/details/42645137
中转服务配置.zip
最新发布
04-15
中转服务配置.zip
分析制作一个APP所需要的技术支撑和经验能力
09-12
制作一个APP需要以下技术支撑和经验能力: 1. 编程语言:APP可以使用多种编程语言进行开发,如Java、Swift、Kotlin、JavaScript等。 2. 开发工具:开发APP需要使用相应的开发工具,如Android Studio、Xcode、Visual Studio等。 3. 设计能力:APP的用户界面需要设计美观、易用,需要有一定的设计能力。 4. 数据库知识:APP需要存储用户数据,需要使用数据库进行存储和管理。 5. 网络编程:APP需要与服务器进行通信,需要有一定的网络编程经验。 6. 安全知识:APP需要保证用户数据的安全,需要有一定的安全知识,如加密算法等。 7. 测试经验:APP需要进行测试,需要有一定的测试经验,如功能测试、性能测试、兼容性测试等。 8. 项目管理经验:APP开发需要进行项目管理,需要有一定的项目管理经验,如需求分析、进度控制、团队协作等。 总之,制作一个APP需要一定的技术支撑和经验能力,需要多方面的知识和技能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值