通过云打包的apk包在进行安全相关测试时,被测试人员反编译查看源码,在AndriodManifest.xml文件内发现将相关第三方服务Appid、Appkey、Appsecret 写死在APP的代码之中,反编译破解之后,Appid、Appkey、Appsecret会被窃取。从而攻击者可以伪装应用进行敏感操作,攻击者可能使用泄露的信息来大量请求 API 接口,耗尽服务器资源,导致服务不可用或降低性能。
但是检查应用的代码,配置和所有第三方插件配置后,并未发现相关参数配置,请问如何隐藏这些参数.或者如何整改这个问题,
王者地带 - 5+混合APP开发教程网 | http://www.html5-app.com | 咨询QQ: 2564034335
这个基本都需要后台,填写好安卓证书签名, 只要你的安卓证书 文件和密码不被别人知道,只是Appid、Appkey、Appsecret,也是无法去使用的你的第三方资源,保管好安卓证书和密码
DCloud 即数字天堂(北京)网络技术有限公司是W3C成员及HTML5中国产业联盟发起单位
京ICP备12046007号-4 | 京公网安备:11010802035340号 | 国家信息安全等级保护三级,证书编号:11010813802-20001
