1. 问题说明
验证移动客户端 APP 和服务器之间关键数据的交互是否使用了加密信道,检查能否对关键数据进行篡改,如果能被篡改,则会导致敏感信息泄露或其它敏感信息被攻击者篡改。
2. 测试步骤
通过对移动客户端 APP 抓包观察、逆向分析等方式分析 APP 对关键数据在通信时的处理,若攻击者可操作通信数据,尝试对数据进行修改。
下图中密码等关键数据未加密。
而下图中的数据包就对关键数据进行了加密处理。
3. 修复建议
测试移动客户端 APP 在提交数据给服务端时,密码等敏感信息是否进行了加密和校验,从而防止恶意用户嗅探和修改用户数据包中的敏感信息。
若有收获,就点个赞吧
0 人点赞
