即使使用https,移动应用程序请求是否可能被嗅探?
问题描述:
我们正在开发一个混合移动应用程序,并且对于某些函数调用,有一个URL称为。这里是获取用户信息即使使用https,移动应用程序请求是否可能被嗅探?
http://someurl.com/1234/account
,其中一个样品的请求:1234 - 在数据库中的用户ID。
我们认为“中间人攻击”是可能的。由移动应用程序调用的url可以被嗅探,然后黑客只是改变了用户id的值,并且他可以看到其他用户的信息。问题是 - 只需要改变称为https的url解决这个安全缺陷?
答
不,它不会。您基于未经身份验证的URL公开用户数据,未经授权的用户即使远离移动平台也可以访问已修改的URL。
也许把它移到:https://security.stackexchange.com/?在发布之前在那里搜索。 –