1. 问题说明
验证移动客户端和服务器之前的通信是否使用加密通信,其关键的数据是否进行了加密和校验,如果没有则存在数据包篡改风险。
2. 测试步骤
抓取数据包查看数据交互请求的关键数据是否加密处理,如登录时的密码未做任何的加密、数据包未做签名、敏感信息未做身份校验等。
下图中密码进行了加密,同时还有 sign 签名做强校验。
3. 修复建议
测试移动客户端程序提交数据给服务端时,密码等关键字段是否进行了加密和校验,防止恶意用户嗅探和修改用户数据包中的密码等敏感信息。
若有收获,就点个赞吧
0 人点赞
