我正在设计一个REST API,它使用卡号和CVV并使用它来检查卡余额和其他详细信息。我们有HMAC加密,设备标识符识别和SSL标头验证以及所有安全措施。
然而,问题是将从移动应用程序调用该调用,可以轻松地进行逆向工程以获取代码。一旦有人拥有代码,他们就可以编写一个机器人来捕获(Brute Force)合法的卡号cvv组合。
因此,为了锁定API,我计划使用像FUNCaptcha这样的验证码(适合移动设备)。然而,应用DEV拒绝它说网络视图(IOS,Android)不安全,可以利用MITM攻击等利用它,因为它是基于JavaScript的。
有人可以就如何解决问题给我一些想法。我需要从BOT和其他自动化流程中保护API。唯一的方法是通过验证码。但在移动设备上看来,webview是一个坏主意。