即使是 https,移动应用程序请求是否也可能被嗅探?
Is it possible for a mobile app request to be sniffed even if https?
我们正在开发混合移动应用程序,对于某些函数调用,有一个 url 调用。这是获取用户信息的示例请求
http://someurl.com/1234/account
其中:1234 - 是数据库中的用户 ID。
我们认为 "man in the middle attack" 是可行的。移动应用程序调用的 url 可以被嗅探,然后黑客只需更改用户 ID 的值,他就可以看到其他用户的信息。问题是 - 只需将调用的 url 更改为 https 就可以解决此安全漏洞吗?
不,不会。您正在根据未经身份验证的 URL 公开用户数据,未经授权的各方即使在移动平台之外访问修改后的 URL 也是微不足道的。
我们正在开发混合移动应用程序,对于某些函数调用,有一个 url 调用。这是获取用户信息的示例请求
http://someurl.com/1234/account
其中:1234 - 是数据库中的用户 ID。
我们认为 "man in the middle attack" 是可行的。移动应用程序调用的 url 可以被嗅探,然后黑客只需更改用户 ID 的值,他就可以看到其他用户的信息。问题是 - 只需将调用的 url 更改为 https 就可以解决此安全漏洞吗?
不,不会。您正在根据未经身份验证的 URL 公开用户数据,未经授权的各方即使在移动平台之外访问修改后的 URL 也是微不足道的。