1. 问题说明
验证移动客户端 APP 和服务器之间是否使用了加密信道进行通信,如果没有使用加密通道,那么用户可能存在被中间人攻击的风险。
2. 测试步骤
使用抓包软件如 tcpdump、BurpSuite 等,检查 APP 与服务端之间的通信是否进行了加密。
下图中 APP 和服务器的通信未使用 https 协议进行加密传输,存在被中间人攻击风险。
3. 修复建议
建议移动客户端 APP 在和服务器进行通信交互时信道使用 SSL 加密信道进行传输,同时还需要保证加密信道的本身安全(SSLV2,SSLV3 已被证明存在漏洞,所以我们更建议至少使用 TLSV1.1 以上的算法),或是在通信过程中自实现类似 TLS 协议的算法,同时也要保证自实现算法的安全性。
若有收获,就点个赞吧
0 人点赞
