آیا راهی هست که سرور شخصی من فقط با اپلیکیشن من اطلاعات رد و بدل کنه؟

[mamadlooloo]

درود بر همه دوستان

خواهش میکنم اگر مطلبی در این مورد می دونید راهنمایی کنید.

من یه بازی ساختم که در اون میشه امتیاز کسب کرد و این امتیاز رو ارسال کرد به سرور .

مثلا شما امتیاز 100 رو آوردید و میخواید اون رو در جدول رکورد داران ثبت کنید.

حالا اگه کاری نکنم که سرور من فقط از اپلیکیشن من اطلاعات بگیره ، هکر به راحتی میتونه با یوزر و پسورد خودش ، امتیاز 1000 رو بفرسته به سرور من. در صورتی که اصلا چنین امتیازی نیاورده.

خواهش میکنم راهنمایی کنید.

سپاس.

[saeidpsl]

با سلام آدرس سایتت رو کد کن

[mamadlooloo]

دوست گرامی یه خورده بیشتر توضیح بدید.
منظورتون استفاده از C++‎ هست؟

[mamadlooloo]

دوست گرامی یه خورده بیشتر توضیح بدید.
منظورتون استفاده از C++‎‎‎ هست؟

[saeidpsl]

کد کردن با ++C
http://www.mediafire.com/file/4mimnh...Decryption.rar
کد کردن با Zelix KlassMaster 5.5
https://barnamenevis.org/showthread.p...=1#post2059636

[saeidpsl]

تو سایت stackoverflow.com یکی اینو گفته بود
We have design a ".so" file for security regarding in RESTAPI ".so" file is native compiled file by android NDK. We have design a auth_key which is generate by ".so" file according user "email" and "password". It's generate 265 digit key for authorization. Means user is valid or not. and also this same algorithm is also apply on server side to get original data from the key. I have see 99% payment gateway is also used our own algorithm for generating auth_key in ".so" means native file. Because any hacker cann't possible to reverse Engineer this file to get original Algorithm code to generate auth_key
لینکش

[saeidpsl]

اگه با json کار میکنی بهتره از کتابخونه Gson استفاده کنی.

[Nevercom]

حتی اگه تو کدها هم آدرس API رو به شکلی مخفی کنید، میشه با اسنیف کردن پکت های خروجی اطلاعات ارسالی برنامه شما رو دید. مخفی کردن آدرس به هر شکلی در کدها ممکنه 2 ساعت از وقت شما رو بگیره برای پیاده سازیش، اما 30 ثانیه هم از وقت کسی که بخواد Network Call های برنامه ی شما رو ببینه، رو نمیگیره.

واقعیت این هست که هر کسی میتونه به سمت سرور شما درخواست ارسال کنه، و هر پارامتری هم که تعیین کنید قابل شبیه سازی هست.

در عوض باید API رو به شکلی تغییر بدید که امتیاز ها رو سمت سرور بر اساس مجموعه ای از پارامتر ها محاسبه کنید و محدودیت های منطقی ای بزارید تا کسب امتیاز غیر منطقی و عجیب صورت نگیره (و طرف تقلب نکنه)، و شاید اگر تقلب صورت گرفت (یعنی این محدودیت ها رو هم دور زد، شناسایی بشه) Banش کنید.

قانون کلی نوشتن API این هست که هیچوقت به کلاینت اعتماد نکنید، بعضی وقتا رعایت این مورد و جلوگیری از تقلب ساده هست و بعضی وقتا پیچیدگی بیشتری داره، اما وقتی این موضوع رو مدنظر قرار بدید میتونید کل فرآیند رو به شکلی تغییر بدید که امکان تقلب رو خیلی سخت تر کنید.

این رو هم یه نگاهی بندازید بد نیست: https://android-developers.googleblo...ing-block.html

[mamadlooloo]

حتی اگه تو کدها هم آدرس API رو به شکلی مخفی کنید، میشه با اسنیف کردن پکت های خروجی اطلاعات ارسالی برنامه شما رو دید. مخفی کردن آدرس به هر شکلی در کدها ممکنه 2 ساعت از وقت شما رو بگیره برای پیاده سازیش، اما 30 ثانیه هم از وقت کسی که بخواد Network Call های برنامه ی شما رو ببینه، رو نمیگیره.

واقعیت این هست که هر کسی میتونه به سمت سرور شما درخواست ارسال کنه، و هر پارامتری هم که تعیین کنید قابل شبیه سازی هست.

در عوض باید API رو به شکلی تغییر بدید که امتیاز ها رو سمت سرور بر اساس مجموعه ای از پارامتر ها محاسبه کنید و محدودیت های منطقی ای بزارید تا کسب امتیاز غیر منطقی و عجیب صورت نگیره (و طرف تقلب نکنه)، و شاید اگر تقلب صورت گرفت (یعنی این محدودیت ها رو هم دور زد، شناسایی بشه) Banش کنید.

قانون کلی نوشتن API این هست که هیچوقت به کلاینت اعتماد نکنید، بعضی وقتا رعایت این مورد و جلوگیری از تقلب ساده هست و بعضی وقتا پیچیدگی بیشتری داره، اما وقتی این موضوع رو مدنظر قرار بدید میتونید کل فرآیند رو به شکلی تغییر بدید که امکان تقلب رو خیلی سخت تر کنید.

این رو هم یه نگاهی بندازید بد نیست: https://android-developers.googleblo...ing-block.html

سپاس از شما دوست گرامی

یه مشکلی هست، اون هم اینکه : در مستندات این منبعی که معرفی کردید ، نوشته باید از Google Api استفاده کنید.

Please use the Google Developers Console https://console.developers.google.com
to create a project, enable the Android Device Verification API, generate an API key
and add it here.

private static final String URL = "https://www.googleapis.com/androidcheck/v1/attestations/verify?key=" + API_KEY

برای استفاده از این API فکر میکنم باید اپلیکیشن رو روی Google Play منتشر کنم.
کافه بازار خودمون همچین چیزی نداره؟

[mamadlooloo]

اگه با json کار میکنی بهتره از کتابخونه Gson استفاده کنی.

سپاس از راهنمایی شما.

[mamadlooloo]

اپلیکیشن هایی که بانکها استفاده میکنن واسه مشتری هاشون چطوری کار میکنن؟
با ارسال اطلاعات از طریق پیامک یا چیز دیگه؟
قطعا بانکها بیشترین امنیت رو برای اپ خودشون در نظر میگیرن.
روند کاری این اپ ها رو اگر کسی از دوستان میدونه لطفا راهنمایی کنید.

[saeidpsl]

مثلا بانک صادرات از برنامه مثل Zelix KlassMaster 5.5 استفاده کرده آدرس وب سرویسش کد شده

دنیای خطرناکی شده

[mamadlooloo]

مثلا بانک صادرات از برنامه مثل Zelix KlassMaster 5.5 استفاده کرده آدرس وب سرویسش کد شده

یه خورده از نحوه کارش لطفا بگید.
در بالا دوستمون Nevercom گفتن که :(" میشه با اسنیف کردن پکت های خروجی اطلاعات ارسالی برنامه شما رو دید. ")

اگه اینطور باشه که دوستمون گفتن ، آیا کد کردن آدرس سرور معنی داره؟

[Nevercom]

سپاس از شما دوست گرامی

یه مشکلی هست، اون هم اینکه : در مستندات این منبعی که معرفی کردید ، نوشته باید از Google Api استفاده کنید.

Please use the Google Developers Console https://console.developers.google.com
to create a project, enable the Android Device Verification API, generate an API key
and add it here.

private static final String URL = "https://www.googleapis.com/androidcheck/v1/attestations/verify?key=" + API_KEY

برای استفاده از این API فکر میکنم باید اپلیکیشن رو روی Google Play منتشر کنم.
کافه بازار خودمون همچین چیزی نداره؟

نه، هیچ محدودیتی در محل انتشار برنامه ندارید. تا جایی که خاطرم هست ایرادش اینه که کاملاً رایگان نیست و در حالت رایگان تعداد API Request های محدودی دارید (روزانه 10٫000 درخواست)

البته من از این سرویس استفاده نکردم، اما چون تو بلاگ توسعه دهنده‌گان گوگل خونده بودم مطلب رو، معرفیش کردم.

[saeidpsl]

یه خورده از نحوه کارش لطفا بگید.
در بالا دوستمون Nevercom گفتن که :(" میشه با اسنیف کردن پکت های خروجی اطلاعات ارسالی برنامه شما رو دید. ")

اگه اینطور باشه که دوستمون گفتن ، آیا کد کردن آدرس سرور معنی داره؟

کد کردن آدرس سرور 50% کار رو سختر می کنه همه که بلد نیستن اسنیف کنن . کار از محکم‌کاری عیب نمی‌کند

[mamadlooloo]

دوستان php کارمون
دوستان هکر کلاه سفیدمون
دوستان باسوادمون
دوستان باتجربه

کسی ایده ای نداره؟ هیچی؟؟؟

[maarek]

خب میتونی از یه Token استفاده کنی که مثلا یه کدی هست که از طریق اس ام اس میاد یا یه هدر خاصی طراحی کن که فقط به درخواست هایی جواب بده که این هدر دارن...
یا اصلا ببین بقیه بازی ها چطوری کار میکنن یه کم تحلیل کن

[saeidpsl]

از اول همه ssl رو فعال کن دلیل



بعد میتونی داده کامل میفرستی رو کد کنی مثلا
این بدون کد کردنه
test.com/test.php?user=ali&pass=1234&score=1000
حالا ما همه دیتا رو کد میکنیم از یور بگیر تا اسکور اینجور میشه
test.com/test.php?data=4324dDFGDERESER3545FGHFGH
همچین چیزی مثل بالا درست میشه سمت اندروید
بعد سمت php باید بخش data رو از کد در بیاری
نتیجه این چیزی هست که بهت نشون میده
user=ali&pass=1234&score=1000
برای کد کردن سمت اندروید از ++C استفاده کن که کسی نتونه کد تو decompile کنه همون الگوریتمی که برا کد کردن در ++c هست برا سمت سرور هم همون جور پیاده کن

یه روش دیگه مثلا الگوریتمی بنویس که طبق ساعت و تاریخ و یه کد ایمنی همون وقت یه کد بهت بده بعد در سرور همین تکرار میشه میگه اگه کد ایمنی + زمان + تاریخ بشه مثلا =1234 هست اگه کد فرستاده شده سمت یوزر همین باشه اجازه ذخیر بهش بده .
تاپیک جالبی شده .

[mamadlooloo]

یا اصلا ببین بقیه بازی ها چطوری کار میکنن یه کم تحلیل کن

پیشنهاد خوبیه ولی احتیاج به زمان زیادی داره.
بازی ساز ها هم قطعا اطلاعات بازی خودشون رو به کسی نمیگن.

[saeidpsl]

پیشنهاد خوبیه ولی احتیاج به زمان زیادی داره.
بازی ساز ها هم قطعا اطلاعات بازی خودشون رو به کسی نمیگن.

20 دقیقه کار داره !

[mamadlooloo]

از اول همه ssl رو فعال کن

بعد میتونی داده کامل میفرستی رو کد کنی مثلا
این بدون کد کردنه
test.com/test.php?user=ali&pass=1234&score=1000
حالا ما همه دیتا رو کد میکنیم از یور بگیر تا اسکور اینجور میشه
test.com/test.php?data=4324dDFGDERESER3545FGHFGH
همچین چیزی مثل بالا درست میشه سمت اندروید
بعد سمت php باید بخش data رو از کد در بیاری
نتیجه این چیزی هست که بهت نشون میده
user=ali&pass=1234&score=1000
برای کد کردن سمت اندروید از ++C استفاده کن که کسی نتونه کد تو decompile کنه همون الگوریتمی که برا کد کردن در ++c هست برا سمت سرور هم همون جور پیاده کن

یه روش دیگه مثلا الگوریتمی بنویس که طبق ساعت و تاریخ و یه کد ایمنی همون وقت یه کد بهت بده بعد در سرور همین تکرار میشه میگه اگه کد ایمنی + زمان + تاریخ بشه مثلا =1234 هست اگه کد فرستاده شده سمت یوزر همین باشه اجازه ذخیر بهش بده .
تاپیک جالبی شده .

این راه حل خوبیه به شرط اینکه هر چند وقت یه بار کدهای سی++ رو بروز رسانی کنم تا اگر هم به احتمال کمی، کسی تونست به اطلاعاتش دسترسی پیدا کنه با بروزرسانی به هدفش نرسه.
دوستان دیدگاهتون چیه؟

[mamadlooloo]

20 دقیقه کار داره !

شوربختانه دانش من در این مورد کم هست.
لطفا بیشتر توضیح بدید چطور؟

[saeidpsl]

کد رو مینویسم به زودی خعلی کار میشه کرد
مثلا
test.com/test.php?data=4324dDFGDERESER3545FGHFGH
یه زمان تاریخ هم اضافه میکنی اینجوری
date=2017-07-30 15:20:40
وقتی میخوای دیتا به وب سرویس بفرستی یه تایم از سرور بگیره ممکنه زمان اندروید دست کاری شده اینجوری
test.com/time.php
اینجور چیزی
بعد سمت سرور time رو میگیری بعد مثلا اگه زمان از 60 ثانیه بیشتر گذشته اجازه ورود نده یعنی زمان ارسال شده و زمان خود سرور میسنجه اگه از 50 ثانیه یا هر زمانی که خودت میخوای بگزره اجازه ورود نده
خعلی کارهای دیگه هم میشه کرد.

[mamadlooloo]

کد رو مینویسم به زودی خعلی کار میشه کرد
مثلا
test.com/test.php?data=4324dDFGDERESER3545FGHFGH
یه زمان تاریخ هم اضافه میکنی اینجوری
date=2017-07-30 15:20:40
وقتی میخوای دیتا به وب سرویس بفرستی یه تایم از سرور بگیره ممکنه زمان اندروید دست کاری شده اینجوری
test.com/time.php
اینجور چیزی
بعد سمت سرور time رو میگیری بعد مثلا اگه زمان از 60 ثانیه بیشتر گذشته اجازه ورود نده یعنی زمان ارسال شده و زمان خود سرور میسنجه اگه از 50 ثانیه یا هر زمانی که خودت میخوای بگزره اجازه ورود نده
خعلی کارهای دیگه هم میشه کرد.

مشکل اصلا سر زمان نیست دوست خوبم.
مشکل سر اینه که : شما فرض کن من پروتکل HTTPS دارم و فایل های SSL certificateداخل اپلیکیشن هستن. اگر مهندسی معکوس انجام بشه و به فایل های SSL certificate دسترسی پیدا کنیم ، امکان داره هکر بیاد و با استفاده از این certificate داده خودش رو بفرسته سمت سرور ؟؟؟

اپلیکیشن زودفود رو اگه مهندسی معکوس کنید تمام فایل های SSL certificate در دسترس هستن.

در واقع در پروتکل HTTPS میشه مشخص کرد که از چه اپلیکیشنی داده ارسال و دریافت بشه سمت سرور؟ یا نه HTTPS کاری به اینجور چیزا نداره و فقط داده ها رو کد میکنه و ارسال میکنه؟ حالا از هر جایی که میخواد باشه.

این پرسشم برمیگرده به اینکه در مورد HTTPS زیاد نمیدونم شوربختانه.

[saeidpsl]

HTTPS برای امنیت سایت خودته
اینجا مهمه که data=4324dDFGDERESER3545FGHFGH کد شده اینو نمیتونه کاریش کرد
امنیت هر چه بیشتر بهتره

[saeidpsl]

کسی نظری نداره؟

[mamadlooloo]

کسی نظری نداره؟

دوستانی که در مورد موضوع تاپیک آگاهی دارن، خواهشمندم دیدگاه خودشون رو بگن.

[saeidpsl]

حتی اگه در ++C آدرس کد نشده استفاده کنی با HEX کردن فایل so میشه آدرس رو به راحتی پیدا کرد باید هر آدرس مهم اول کد کنی.

[saeidpsl]

اینجور باید انجام بدیم

[mamadlooloo]

حتی اگه در ++C آدرس کد نشده استفاده کنی با HEX کردن فایل so میشه آدرس رو به راحتی پیدا کرد باید هر آدرس مهم اول کد کنی.

دقیقا همینطوره

نباید یک رشته رو در سی++ به کار برد. بلکه باید رشته رو تبدیل به Byte Array کرد.

[saeidpsl]

یه برنامه نوشتم تا کار با اسنیف رو تست کنم وقتی رو دکمه Sent زدم یه ثانیه آدرس لینک پیدا کرد[امنیت در حد جیبوتی!].به زودی رو کد کردن لینک کار می کنم و نتیجه + کد ها رو گزارش میدم.

[tux-world]

سلام. دستتون درد نکنه آقا سعید در مورد این اسم تابع یه توضیح میخواستم:

Java_com_saeidpsl_EncryptionDecryption_EncryptUtil  _encrypt

این جاوا کام بعد اسم شما اومده. این به چه شکله. بخواییم اسمش رو عوض کنیم مثلا از سعید به مهدی فقط باید اون سعید عوض شه؟ جاوا آندرلاین کام چیه؟

[saeidpsl]

سلام. دستتون درد نکنه آقا سعید در مورد این اسم تابع یه توضیح میخواستم:

Java_com_saeidpsl_EncryptionDecryption_EncryptUtil  _encrypt

این جاوا کام بعد اسم شما اومده. این به چه شکله. بخواییم اسمش رو عوض کنیم مثلا از سعید به مهدی فقط باید اون سعید عوض شه؟ جاوا آندرلاین کام چیه؟

سلام خواهش می کنم
اره میشه عوض کرد
اسم package

com_saeidpsl_EncryptionDecryption

اینم اسم class

EncryptUtil

اخرش هم اسم String هستش

[saeidpsl]

تو github بهترش هم گیر میاد.

[tux-world]

سلام خواهش می کنم
اره میشه عوض کرد
اسم package

com_saeidpsl_EncryptionDecryption

اینم اسم class

EncryptUtil

اخرش هم اسم String هستش

نمیدونم کجا دارم اشتباه میکنم. من این com_saeidpsl_EncryptionDecryption رو تغییر دادم به اسم پکیج خودم ir.pishguy.myapppro

که شد ir.pishguy.myapppro_EncryptUtil_encrypt

حالا اومدم تو گردل این رو گذاشتم:

        ndk{

            moduleName "saeidpsl_encrypt"

            ldLibs "log", "z", "m"

            abiFilters "armeabi", "armeabi-v7a", "x86"

        }

به چیز دیگه ای هم دست نزدم و فقط جاگذاری کردم. خطای زیر رو میده بهم:

Error:Could not find method ndk() for arguments [build_5uzhq3pbpydx849xi6yzjyck8$_run_closure1$_clo  sure6@4efa66cf] on object of type com.android.build.gradle.AppExtension. 

[tux-world]

درست شد. اشتباه از من بود. الان خطای زیر رو میده:

  Error:Execution failed for task ':app:compileDebugNdk'. > Error: Your project contains C++‎‎‎‎‎‎ files but it is not using a supported native build system.   



Consider using CMake or ndk-build integration with the stable Android Gradle plugin:    

https://developer.android.com/studio...tive-code.html   or use the experimental plugin:   

 https://developer.android.com/studio...al-plugin.html.

[tux-world]

درست شد. اشتباه از من بود. الان خطای زیر رو میده:

من CMake و LLDB رو نصب کردم ولی هنوز نمیتونم کامپایل کنم

[saeidpsl]

حالا ببین جواب میده لینکش.
فایل build.gradle ادرس commandLine عوض کن.

[h3lper]

سلام یک راهش اینه که یک پسورد داشته باشی و هر بار برای ثبت رکورد ، درخواستی رو به سرور ارسال کنی که پسورد رو هم داخل درخواست داشته باشه، در سمت سرور هم پسورد رو بررسی میکنی که در صورت درست بودن رکورد ثبت بشه و در غیر این صورت ثبت نمیشه.
-با فعال کردن ProGuard از کد برنامتون محافظت کنید.
-برای ارسال اطلاعت در صورت امکان از متد POST استفاده کنید و اطلاعات رو قبل از ارسال رمزنگاری کنید.

[tux-world]

حالا ببین جواب میده لینکش.
فایل build.gradle ادرس commandLine عوض کن.

این فایل شما راحت کامپایل میشه و کار میکنه مشکلی نداره ولی روی اپی که خودم نوشتم خطا میده. حالا با کش و قوس فراوان رسیدم به این خطا:

Error:(115) *** Android NDK: Aborting    .  Stop.

Error:Execution failed for task ':app:compileDebugNdk'.

> com.android.ide.common.process.ProcessException: Error while executing process /Users/mahdi/Desktop/Home/Packages/AndroidSdk/ndk-bundle/ndk-build with arguments {

NDK_PROJECT_PATH=null APP_BUILD_SCRIPT=/Users/mahdi/Desktop/Home/Projects/Android/MYAPP/app/build/intermediates/ndk/debug/Android.mk APP_PLATFORM=android-25 NDK_OUT=/Users/mahdi/Desktop/Home/Projects/Android/MYAPP/app/build/intermediates/ndk/debug/obj NDK_LIBS_OUT=/Users/mahdi/Desktop/Home/Projects/Android/MYAPP/app/build/intermediates/ndk/debug/lib APP_ABI=armeabi-v7a,armeabi,x86}