的PhoneGap Android的APP-安全數據流量

Question

我PhoneGap的Android應用recuires用戶登錄，它需要向用戶顯示某些信息已登錄後（應用程序retreives XML從PHP服務器上，使用AJAX）

我搜索了許多博客/論壇和許多stackoverflow帖子，試圖拿出最好的安全選項/功能。 我想實現以下安全選項。

• 通過使用HTTPS（HTTP + SSL）
• [服務器側]用戶代理檢查安全通信。
• CRC檢查phonegap JS文件並將結果與​​信息請求一起發送。然後讓服務器比較CRC結果和結果。 （所以如果有人反編譯的應用程序，更改的代碼，並再次編譯...我們會知道）
• 該應用程序只能從服務器請求數據。而不是刪除/更新任何數據。
• 模糊處理/加密javascript文件...只是使它有點難以去

如果以下是可能的PhoneGap

• 加入了Android UID /設備ID我數據庫。所以只有列入白名單的設備才能訪問。

我應該使用更多的安全功能？

Answer 1

1. HTTPS必須用於會話的生命。 OWASP A9
2. 用戶代理是攻擊者控制的變量。因爲檢查這個變量沒有 點，因爲欺騙是微不足道的。
3. CRC不是一個安全的哈希函數。這是跳過這個 檢查我做了修改，然後添加填充創建一個 相同的CRC。如果用戶修改了您的應用，則可以刪除您的廢話CRC校驗。
4. 服務器必須強制訪問控制，假設攻擊者可以 向您發送任何請求。
5. 不要依賴（在）安全性，雖然默默無聞。
6. 用戶可以發送他們想要的任何請求，因此他們可以欺騙此 標識符。

攻擊者無需修改JavaScript即可修改HTTP請求。攻擊者可以使用BURP代理或類似工具在請求到達服務器之前攔截並修改請求。閱讀OWASP top 10，確保您的後端API沒有常見缺陷。