[英]How to prevent reverse engineering of an Android APK file to secure code?
[英]How to prevent reverse engineering apk to get server login?
我正在尝试找到一种方法来确保我的Android应用安全,然后再发布。 目前,我正在使用https / ssl进行服务器通信,并在应用程序要与之通信的服务器上使用受密码保护的隐藏目录。 在这些目录中,该应用程序与处理与服务器数据通信的PHP脚本对接。 我看到的最大的漏洞在于,使用apk文件中的文字字符串来访问PHP脚本所在的受服务器密码保护的目录。 这些文字字符串可以通过二进制检查或附加调试器来检测。 到目前为止,我读到的是不可能混淆文字字符串。
我的问题是,如何防止发现运行PHP脚本的隐藏目录的密码? 或者,我还应该采取什么其他方法来确保服务器登录名的安全并减少服务器攻击的机会?
我认为最好的方法是在运行时验证应用程序的签名证书。 由此,您无需在应用程序中对任何凭据进行硬编码。 目前,Facebook SDK正在使用它。 请看以下。
也许使用加密比不进行加密更有意义,您需要控制如何处理私钥。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.