WL.Client.InvokeProcedure是一个内部API,由Worklight Framework使用,但是,您可以在将调试模式下的设备与Google Chrome连接后调用此API。我们如何限制对WL.Client.invokeProcedure的访问,以便用户无法利用此调用?
复制步骤(仅限开发):
1.解压缩由Worklight建立的APK 2.设置android:debuggable = true(还检查如何在JS文件中调用WL适配器)
3.重建APK
4.在手机中安装APK 5.启动应用程序并通过Chrome连接://检查
6.认证为"正常"用户
7.转到开发者控制台
8.为您经过身份验证但未经授权的用户数据的任何适配器调用WL.Client.invokeProcedure
答案 0 :(得分:1)
我认为测试有点误导,因为"你"因为攻击者将有几个先决条件:拥有操纵代码,调用代码和知道什么是正常"的技术技能。用户。
那说:
在即将推出的MobileFirst Platform v7.0中,您将能够混淆移动应用程序的代码(iOS,Android等)。您现在也可以do this manually。
现在您已经可以启用Application Authenticity Protection功能以及webResourcesChecksumTest和webResourcesEncryption功能。请参阅Application Descriptor user documentation topic。
中的安全元素部分以上内容将为您的应用程序添加几层保护,防止篡改应用程序代码,如果其校验和发生更改则不允许使用该应用程序并验证应用程序标识。