安全性问题

安全性问题

1.明文--->加密：事先，生成一个队用于加密的公司秘钥，客户端登录时，是用公钥将用户密码加密后，将密文件输到服务器。服务器是用私钥将密码解密，然后加盐，之后多次请求MD5，之后和服务器原来存储的密码对比，一致，则成功。如果黑客获取了密文，如果没有私钥，也无法是用

2.通讯协议被破解

3.应用内支付凭证

iOS应用内支付（IAP）

越狱后的手机没有沙盒的保护，黑客可以对系统进行任意的修改，所以在支付过程中，苹果返回的支付款的凭证可能是伪造的。客户端拿到付款凭证后，还需要将凭证上传到自己的服务器上，进行二次验证

苹果的支付凭证并不包含用户的任何账号信息，所以我们的应用和服务器无法知道这个凭证是谁买的，而只能知道这个凭证是真的还是假的，所以认证凭证时，那个账号发起了请求，我们就默认为这个凭证是该账号拥有的。如果何可将凭证接货，就可以为妆成真实用户来验证凭证或者转手出售

4.程序文件的安全

js文件，在项目解压，可以看到其内容

本地文件

5.源代码的安全

IDA反汇编的工具—制作注册机，加入木马出售—>采用宏混淆，关键逻辑用纯c实现