android - Android 应用程序中的安全性
问题描述
我最近开发了一个应用程序,它是金融应用程序,它已经过安全漏洞测试。
测试中确定的要点之一是-通过不安全的直接对象引用进行帐户接管-提供的评论如下-在安全评估期间,发现 Android 应用程序中的不安全授权控制允许攻击者代表不同的用户发出请求用户。它允许攻击者接管任何用户的帐户。该应用程序完全缺乏允许攻击者代表任何用户发出请求的授权控制。
所提供的补救措施是——为了防止这种情况,确保用户的访问权限被限制在正确的权限级别,而不仅仅是应用程序界面中用户可用的页面。
这是否意味着基于角色的系统?我的应用不需要多个用户角色。只有一个角色“最终用户”将使用该应用程序。
有人可以提供见解吗?
解决方案
您需要考虑以下几点,
- 对 Web API 使用身份验证方法,例如基本身份验证、OAuth 2.0、OAuth 1.0
- 为用户使用会话管理器,即使只有一个用户。
- 使用 Gradle 保存 URL、token、token secret 等数据。
- 使用最少的 3rd 方库。
- 使用保护
- 隐藏所有日志
- 在发布或测试之前将 Debug 变量更改为 Release 变量。
推荐阅读
- python - 根据条件语句查询表并取值
- r - R按邮政编码接近合并2个data.frames
- swift - 视图控制器内的collectionView不显示
- git - Git:如何将其他存储库的远程主分支合并到本地主分支而不污染它
- swift - 通过单击推送通知或单击应用程序图标确定是否打开了应用程序
- ios - 在 Swift 中使用 Firebase - pod 安装错误
- python - 将对象异步添加到 QGraphicsScene
- node.js - Docker Build 在 GCP Cloud Build 中失败 - 但在 localhost 中成功
- r - R:通用绘图函数有两个参数,但如果我只希望它不取 1 怎么办?
- google-chrome - Chromedp:处理警报