防止攻击者反编译iOS应用程序并访问数据库
根据这篇文章,反编译iOS应用程序是可能的。
目前,我使用Amazon Cognito进行连接。我需要使用的所有连接是身份ID和角色名称。我看不出有什么能阻止攻击者仅仅获取这些值并连接到数据库。
例如,是什么阻止攻击者反编译Facebook iOS应用程序代码并删除所有用户?
如何防止攻击者反编译我的iOS应用程序并获得对数据库访问密钥的访问权限,或者至少防止他们进行任何重大破坏,例如删除用户?
共有1个答案
根据我公认的有限经验,我认为真正有动机的攻击者总是能够检索您用来访问数据库的凭据,而不管您对可执行文件做了什么。然而,我会质疑为什么应用程序首先需要直接访问数据库。
保护服务器端数据的通常方法是使用web服务来访问它。应用程序通过请求联系web服务,服务联系数据库,获取数据,并将其发送回。由于web服务和db都托管在您的服务器上,并且只有web服务需要直接访问您的db,因此不需要在应用程序中存储db访问信息。问题解决了。
-
问题内容: 最近,我们对代码进行了安全审核,问题之一是我们的应用程序受到 Xml eXternal Entity (XXE)攻击。 基本上,该应用程序是一个计算器,可通过Web服务以XML形式接收输入。 这是对我们的应用程序进行此类XXE攻击的示例: 如您所见,我们可以引用指向外部文件()的实体。 关于XML输入本身(该部分)未与JAXB(v2.1)一起编组。Web服务部分基于jaxws- rt(
-
想知道如何使用Xstream API修复Xml外部实体(XXE)漏洞。 就像我们能做的一样 使用DocumentBuilderFactory。更多详细信息-https://www.owasp.org/index.php/XML_External_Entity_(XXE)\u预防\u备忘单 我的代码是这样的-
-
问题内容: 我必须在我的java程序中添加一条语句以更新数据库表: 我听说可以通过SQL注入来利用此漏洞,例如: 我的程序具有Java GUI,并且从中检索所有名称,地址和电子邮件值。我想知道黑客如何将以下代码()添加到我的插入语句中,以及如何防止这种情况发生。 问题答案: 您需要使用PreparedStatement。例如 这样可以防止注入攻击。 黑客将其放入其中的方式是,如果您要插入的字符串来
-
本文向大家介绍如何防止XSS攻击?相关面试题,主要包含被问及如何防止XSS攻击?时的应答技巧和注意事项,需要的朋友参考一下 (1) 将前端输出数据都进行转义 (2) 将输出的字符串中的\反斜杠进行转义 (3) 从url中获取的信息,防止方法是由后端获取,在前端转义后再行输出 (4) 使用cookie的HttpOnly属性,保护好cookie 详细参见:http://blog.csdn.net/fe
-
我们对代码进行了安全审计,它提到我们的代码容易受到XML外部实体(XXE)攻击。 XML外部实体攻击利用XML功能在处理时动态构建文档。XML实体允许动态包含来自给定资源的数据。外部实体允许XML文档包含来自外部URI的数据。除非配置为其他方式,否则外部实体会强制XML解析器访问URI指定的资源,例如本地计算机或远程系统上的文件。此行为会使应用程序遭受XML外部实体(XXE)攻击,这些攻击可用于执
-
本文向大家介绍Drupal 9:防止枚举攻击,包括了Drupal 9:防止枚举攻击的使用技巧和注意事项,需要的朋友参考一下 Wired最近发表的一篇有关Parler数据黑客的文章谈到了黑客组织如何能够使用不安全的直接对象引用(IDOR)或枚举攻击从Parler网站窃取公开可用的信息。此类攻击涉及黑客查看站点的结构,并尝试通过查看URL来猜测下一个可用资源。显然,通过简单地枚举其公开可用帖子的ID即