آیا کاربر میتونه آدرس آی پی یا سایت سروریس دهنده برنامه اندروید ما رو با/بدون دیکامپایل بدست بیاره؟
آیا کاربر میتونه آدرس آی پی یا سایت سروریس دهنده برنامه اندروید ما رو با/بدون دیکامپایل بدست بیاره؟
اگه برنامه از ابزار های امنیتی استفاده که با دیکامپایل کردن به بیشتر کدها دسترسی پیدا میکنه که قاعدتا ادرس سرور هم داخل کد ها هست.
از طرفی بدون دیکامپایل کردن و با استفاده از اسنیف کردن خیلی راحت اطلاعات سرور و میشه به دست اورد برای همین اطلاعات حیاتی و نباید بصورت clear text ارسال کنید به سرور.
سلام.سرور تون باید ssl روش نصب باشه.همچنین آدرس درخواست های سمت سرور رو دیکامپایل کنید.از لینک زیر هم میتونید واس دی کامپایل استفاده کنید
https://barnamenevis.org/showthread.p...=1#post2059636
در نظر داشته باشید که صرف برقراری ارتباط با https نباید خیالتون رو از بابت امنیت راحت کنه، با قرار دادن گواهی جعلی میشه اون رو هم sniff کرد.
باید بررسی کنید که گواهی استفاده شده معتبر باشه در غیر این صورت برنامه از برقراری ارتباط خودداری کنه.
اگر اشتباه میکنم اصلاح کنید.
موقعی خیال تون راحته که بتونید خودتون یه تست هر چند کوتاهی داشته باشید.اول سورس رو با ابزراهای دیکامپایل بدست بیارید تا مطمئن بشید رشته های مهمش مبهم شده باشه.بعد توسط نرم افزارهای اسنیف که خودم از wireshark استفاده مکینم جزئیات پکت های ارسالی رو ببینید و مطمئن بشید ارتباط امنه.برای تست اسنیف هم بهتره که اول بدون ssl تست کنید تا طرز اسنیف کردن رو متوجه بشید و ببینید داده ها دارن چجوری ارسال میشن.بعد از تمامی این کارها کدهای سمت سرور هم باید کاملا بهینه و ایمن بشه.مخصوصا sql injection که اگه کدهای سمت سرور به درستی پیاده سازی نشه صرف نظراز هر دیوار امنیتی ممکن کل اطلاعات تخریب و یا به سرقت بره