AB
Да, самое прикольное, что там можно, чтобы модули с тестами друг от друга зависили
Size: a a a
2021 July 22
2021 July 23
M
Ребята, чем вы проверяете приложение на уязвимости? Перед тем как отдавать апк на аудит безопасникам хочу сам убедиться, что критических уязвимостей нет. Сорри за оффтоп.
VR
попробуй прогнать через https://github.com/MobSF/Mobile-Security-Framework-MobSF
M
спасибо
ES
Я сам иногда люблю ковырять прилки, и частые дырки это открытые урлы
ES
Сервер можно абузить сколько хочешь
ES
Особенно если есть платные функции на сервере (отправка смс кода, например), то могут быть большие потери
JF
так это же никак не пофиксить. Даже если шифраторы поставить все можно снифить. Все эти защиты на самом сервере должны делаться
ES
можно же, почему нет? затруднить ревёрс прилы всегда можно
JF
а как сниф затруднить?
ES
1)ssl pinning (сломать можно, но нужны +умения)
2)в хедер передавать хеш, который генерится по уникальной сессии. Какой то md5. И это всё завернуть в нативную библиотеку. А ключ для хеширования хранить в keystore.
2)в хедер передавать хеш, который генерится по уникальной сессии. Какой то md5. И это всё завернуть в нативную библиотеку. А ключ для хеширования хранить в keystore.
D
пиннинг к серту внутри нативной либы с подписью запросов там же помогает держать защиту дольше
JF
я имею ввиду снифом получить URL'ы
ES
Сами урлы ничего не дадут с наличием хеширования
JF
аааа, открытые, всмысле "с открытым доступом к серверу"
а я подумал, что внутри приложения URL зашифровать
а я подумал, что внутри приложения URL зашифровать
ES
Это тоже можно, но снифинг покажет урл
JF
я в эту сторону и вел
JF
мискузи
ES
А вообще ещё на серваке должен быть лимит по реквестам, но это уже не на стороне клиента
ES
плюс фильтрация по айпи (хотя проксями можно и обмануть)