Скрыть заголовок «Запрос / ответ» для получения запроса от fiddler или других прокси-приложений отладки

Question

У меня есть мобильное приложение, которое в большой степени зависит от ответа API, я использовал прокси-серверы Charles и Fiddler, чтобы увидеть вызовы API, сделанные моим приложением, и я заметил, что для одного из вызовов Get API я вижу полный URL со всеми запросами параметры (что хорошо) и заголовки запроса (которые включают в себя защищенные ключи).

Таким образом, используя эту информацию, любой может запустить этот API вне мобильного приложения. мое приложение имеет миллионы пользователей, и если кто-то запускает скрипт для увеличения трафика, это также увеличивает нагрузку на сервер. так есть ли способ, которым я могу защитить или скрыть эти ключи?

Я могу думать, что только один способ сделать это

шифрование на стороне приложения и API

есть ли лучший способ сделать это?

Answer 1

Вы можете реализовать закрепление сертификата или открытого ключа в своем приложении (для листа или корневого CA-сертификата).Это мешает злоумышленнику использовать прокси-сервер и перехватывать HTTPS-трафик.Однако с XPposed и модулем SSL-Unpinning это все равно будет работать.

Также имейте в виду, что файлы APK можно легко декомпилировать, поэтому вам не нужно атаковать сетевой трафик.

Поэтому следующим шагом является укрепление вашего приложения, чтобы оно было устойчивым кманипулирование с помощью XPposed или Frida.Обратите внимание, что хорошие харддинговые рамки стоят больших денег.Обычно предлагаемая защита повышается вместе со стоимостью.

См. Также этот связанный вопрос .