Phonegap Android App-保护数据流量

时间:2013-04-04 13:58:22

标签: php javascript security cordova

我的PhoneGap Android应用程序恢复用户登录,它需要在用户登录后向用户显示某些信息。(App通过使用AJAX从PHP服务器中检索XML)

我在许多博客/论坛和许多stackoverflow帖子上搜索过,试图找出最好的安全选项/功能。 我想实现以下安全选项。

  • 使用HTTPS(http + ssl)保护流量
  • [服务器端]用户代理检查。
  • CRC检查phonegap JS文件,并将结果与​​信息请求一起发送。然后让服务器将CRC结果与应该的结果进行比较。 (因此,如果有人反编译应用程序,更改了代码,并再次编译它......我们就知道了)
  • 该应用只能从服务器请求数据。而不是删除/更新任何数据。
  • 对javascript文件进行模糊/加密......只是为了让它更难以进行

如果Phonegap可以使用以下内容

  • 将android UID /设备ID添加到我的数据库。因此,只有列入白名单的设备才能访问。

我应该使用更多安全功能吗?

1 个答案:

答案 0 :(得分:2)

  1. HTTPS必须在会话期间使用。 OWASP A9
  2. 用户代理是攻击者控制的变量。没有 指出检查这个变量是因为欺骗它是微不足道的。
  3. CRC不是安全散列函数。绕过这个是一个竞争对手 检查我做了一个修改,然后添加填充来创建一个 相同的CRC。如果用户修改了您的应用,那么可以删除您的应用 废话CRC检查。
  4. 服务器必须强制执行访问控制,假设攻击者可以 发送任何请求。
  5. 尽管默默无闻,但不要依赖(安全)。
  6. 用户可以发送他们想要的任何请求,因此他们可以欺骗这个 标识符。

    7. 攻击者无需修改JavaScript即可修改HTTP请求。攻击者可以使用BURP代理或类似工具在请求到达您的服务器之前拦截和修改请求。阅读OWASP top 10,确保您的后端API没有常见缺陷。

相关问题
最新问题