安全性问题
1.明文--->加密:事先,生成一个队用于加密的公司秘钥,客户端登录时,是用公钥将用户密码加密后,将密文件输到服务器。服务器是用私钥将密码解密,然后加盐,之后多次请求MD5,之后和服务器原来存储的密码对比,一致,则成功。如果黑客获取了密文,如果没有私钥,也无法是用
2.通讯协议被破解
3.应用内支付凭证
iOS应用内支付(IAP)
越狱后的手机没有沙盒的保护,黑客可以对系统进行任意的修改,所以在支付过程中,苹果返回的支付款的凭证可能是伪造的。客户端拿到付款凭证后,还需要将凭证上传到自己的服务器上,进行二次验证
苹果的支付凭证并不包含用户的任何账号信息,所以我们的应用和服务器无法知道这个凭证是谁买的,而只能知道这个凭证是真的还是假的,所以认证凭证时,那个账号发起了请求,我们就默认为这个凭证是该账号拥有的。如果何可将凭证接货,就可以为妆成真实用户来验证凭证或者转手出售
4.程序文件的安全
js文件,在项目解压,可以看到其内容
本地文件
5.源代码的安全
IDA反汇编的工具—制作注册机,加入木马出售—>采用宏混淆,关键逻辑用纯c实现
