请问这个问题怎么处理
漏洞名称 代码未混淆风险
漏洞描述 该 App 的java源代码未做混淆处理。
风险等级 中
测试过程
风险描述 代码混淆是一种用来隐藏代码结构及流程的技术,可以增加代码阅读的难度。 代码混淆通过将 Java 代码中的方法名,变量名,类名,包名等这些元素名 称改成毫无关联且无意义的名字(如单个字母或者无意义的组合),或者对 简单的逻辑分支进行混淆,使攻击者难以找到函数调用的内容,无法掌控 app 内部实现逻辑,从而增加逆向工程和破解的难度。应用代码如果不经过 混淆处理,一旦被反编译,源代码将直接暴露给攻击者,造成程序业务逻辑泄露、加解密算法失效、通信加密失效,攻击者可以利用这些信息窃取客户 端的敏感数据,包括账号、密码;绕过业务安全认证流程,直接篡改用户账 号信息;对服务器接口发起攻击等。虽然代码混淆并不能真正阻止逆向工程 , 但可以增大反编译代码被解读的难度。
jxc (作者)
找第三方加固吗?
2022-06-05 00:04