Mobil Uygulama API Kısıtlama
Mobil uygulamada sona gelmek üzereyim ve sorunum şu
dataları yaptıgım api sistemi ile json formatında veriyor ve mobil uygulamada işliyorum
lakin malum hırsız çok piyasada ve bu datalara erişimi mümkün olduğunca kısıtlamak istiyorum
AMACIM: bu apilere yalnızca mobil uygulamadan istek olursa erişilsin.
APK versiyonu indirip kodları gösteren uygulamalar var ve burada api yollarına erişim sağlayacaklardır.
Soru hatalı mı? 👎
Eğer sorunun kurallara aykırı olduğunu düşünüyorsanız lütfen bize bildirin!
Cevaplar (2)
ssl sertifikasi korumasi ekleyebilirsin. ssl in hashi yanlis geliyorsa uyari verirsin
ayrica uygulamanin da bir hashi mevcut,uygulama yeniden imzalanip paketlenirse yine bu hash degisiyor. bu hashi kontrol edebilirsin.
bunlar amatör duzeydeki elemanlari engeller.
eger java kullaniyorsan frida ile bypasslamalari cok kolay olacaktir bunu da tespit edip engellemen gerekebilir.
en saglam cozum native c++ kod yazip uygulamadaki trafigi bu native kutuphane uzerinden yonetmektir. ama tabi bu da bypasslanabiliyor.
ki yapan bir turk de vardi. instagramin apisini assembly uzerinden native kodlardaki ssl korumasini bypass etmisti.
ha ben işimi saglam yaparim diyorsan log tutup loglardan kimin uygulamayi reverse edip calistirdigini tespit edip sunucu dan o ipyi banlayabilirsin vs.
ssl i çözseler dahi uygulamanin response'unu şifrelersen trafigi anlandirmak icin uygulamadaki kodlara bakmalari gerekecektir.