Posts Tagged ‘安全’

app登陆以及与后台通讯安全性

Saturday, February 27th, 2016

去年下半年进入新的项目团队,涉及到现有项目的升级改造、新功能开发,期间发现不少问题,现整理一下予以记录,希望对大家有所帮助。

原有登录流程为:

存在的问题主要有:

所有报文http明文传输,包括登录以及敏感信息的发送。

登录成功后,后续所有接口访问无需任何校验,比如我要进行修改密码直接post请求,不再做校验,http://ip/modifypwd?userid=888&oldpwd=123&newpwd=999&confirmpwd=999,相当于只要知道报文格式,就可以查询、修改系统内任何用户的任何的信息。

Read More: 635 Words Totally


正在读取数据……