q***@163.com
q***@163.com
  • 发布:2018-08-13 15:10
  • 更新:2018-08-14 13:00
  • 阅读:2267

【安全漏洞】Android云打包后AndroidManifest.xml泄露WX_SECRET

分类:HBuilder

APP项目中使用了微信登录、微信支付等功能,然后使用HBuilder对Android进行云打包(对js代码混淆)生成apk文件,但是反编译拿到AndroidManifest.xml,发现WX_SECRET是明文显示。
有什么解决方案,可以避免WX_SECRET等信息泄露?

2018-08-13 15:10 负责人:无 分享
已邀请:
DCloud_App_Array

DCloud_App_Array

打包时可以随便配置,在JS调用API时动态传入真实的值,plus.oauth.AuthService.login()第三个参数AuthOptions

  • q***@163.com (作者)

    感谢已经修改成功!确认只有登录授权的时候才会用的appsecret字段

    2018-08-14 12:53

  • q***@163.com (作者)

    plus.oauth.AuthService.login() 该方法还是有安全漏洞的,因为是APP端调用的,通过抓包工具获取到了https请求下的appsecret(我们安全部门已经提出该漏洞),微信官方推荐的是1.通过微信授权获取code,传递给我们自己的服务器,服务器来通过code+appid+appsecret获取用户信息的,针对此种情况有没有解决办法,急求!!

    2018-08-16 14:10

  • q***@163.com (作者)

    http://ask.dcloud.net.cn/question/58094?column=log&rf=false 安全漏洞求解决

    2018-08-16 14:15

q***@163.com

q***@163.com (作者)

解决办法:

  1. manifest.json对应的微信登录配置,appsecret随便配置一个
  2. 因为只有在登录授权的时候,才会使用appsecret,所以登录授权的时候动态更改appscret,如下:
    plus.oauth.AuthService.login()第三个参数AuthOptions
       s.login( function(e){  
            alert( "登录认证成功!" );  
        }, function(e){  
            alert( "登录认证失败!" );  
        }, {appsecret:"xxxxxxxx"  // 真实微信的appsecret}    
        );

该问题目前已经被锁定, 无法添加新回复