Come proteggere dall'intercettazione delle richieste e dalla manomissione dei parametri? [duplicare]

Question

Come proteggere dall'intercettazione delle richieste e dalla manomissione dei parametri? [duplicare]

#1 da (3 voti)
#2 da (-1 voti)

2

Il mio problema è che ho creato un'app e sto facendo richieste PHP. Ho appena realizzato che puoi annusare tutto su Android con "Packet Capture".

Come posso rendere la mia app più sicura? Ho pensato di lavorare con il checksum o aggiungi qualcosa come una chiave segreta che cambia ogni volta e decifro questa chiave sul mio server in qualche modo.

Qualcuno di voi ha un'idea su come proteggersi dallo sniffare o su come posso rendere la mia richiesta più sicura? (Sto usando l'autenticazione di base ora ma non va bene)

Sono nuovo nella sicurezza.

Per renderlo più chiaro: l'utente stesso sta annusando la richiesta. È un gioco e l'utente è in grado di annusare tutto (UserID, Punteggio ecc.) E inviare una richiesta con questi parametri e impostare il punteggio a 99999

android tampering sniffer

posta Godlike 27.04.2016 - 23:02

fonte

2 risposte

Leggi altre domande sui tag android tampering sniffer

Come posso trovare la dimensione di un array solo dal programma C compilato? Il server caricato con antivirus lascia passare il file virale

score 3 · Answer 1

Non puoi impedire all'utente di intercettare il traffico generato dall'applicazione. Esistono delle alternative che puoi seguire per far funzionare correttamente la tua applicazione: -

1) Connessione protetta dall'utente (SSL / TLS). Anche se gli utenti della stessa rete saranno in grado di visualizzare il traffico di rete generato, ma non saranno in grado di comprendere alcun significato, poiché è crittografato.

2) Per disabilitare la manomissione dei parametri nell'applicazione, eseguire convalide lato server severe e affidabili. Utilizza le mappe di riferimento indiretto per impedire riferimenti diretti non sicuri ai nostri oggetti. per esempio. Invece di UserId come parametro, imposta qualsiasi stringa casuale "adasdfasdfasdf" come parametro, che sostituirà UserId e rendere questo parametro generato casualmente ogni volta, l'utente richiede la pagina. Ciò ti aiuterà a evitare la manomissione dei parametri in gran parte.

Puoi ottenere maggiori informazioni a riguardo al link

score -1 · Answer 2

Sembra che tu stia chiedendo - CSRF (Cross Site Request Forge). Questa è una vulnerabilità in cui il server non può distinguere se la richiesta è stata originata dall'utente stesso o da una richiesta falsificata. puoi implementare un token sicuro

Per impedire lo sniffing dei pacchetti attraverso la rete, implementare HTTPS (TLS 1.2)