Die Sicherung eines API-REST für mobile Apps beim Sniffing von Anfragen liefert den Schlüssel
Einführung
Trotz Authentifizierungsmethoden wie API Basic Authentifizierung, API-Schlüssel und OAuth 2.0: Hacker können häufig Anfragen an mobilen Apps ausspionieren, um diese aufzudecken „Schlüssel“, der zur Authentifizierung verwendet wird. Dadurch erhalten sie Zugriff auf die API, als ob sie die App verwenden würden. Gibt es also eine Möglichkeit, eine von einer mobilen App verwendete API zu sichern?
Der Unterschied zwischen „Was“ und „Wer“
Bei der Authentifizierung einer API-Anfrage Es ist wichtig zu unterscheiden zwischen „was“ die Anfrage stellt (die mobile App) und „wer“ auf die API zugreift (die Benutzer).
Imitieren der mobilen App
Angreifer können mithilfe eines Proxys problemlos Authentifizierungsschlüssel aus mobilen Apps extrahieren und so die Identität der App nachahmen und API-Aufrufe durchführen.
Härtung und Abschirmung der mobilen App
Mobile Härtung und Abschirmungslösungen versuchen zu verhindern, dass gefährdete Geräte und geänderte Apps auf die API zugreifen. Diese Lösungen sind jedoch nicht narrensicher und können umgangen werden.
Sicherung des API-Servers
Die Extrameile gehen
Das obige ist der detaillierte Inhalt vonWie können wir die API einer mobilen App vor Request-Sniffing-Angriffen schützen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!