腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(2617)
视频
沙龙
1
回答
如何
保护
API
密钥
不被
恶意
攻击者
反编译
我
的
应用程序
,
以及
检测
恶意
使用
?
android
、
firebase
、
security
、
token
、
secret-key
我
目前正在开发一个android
应用程序
,它
使用
API
密钥
和访问令牌通过TLS访问数据。 而不是将秘密以明文形式存储在
应用程序
本地,
我
正在考虑从Firebase之类
的
东西通过TLS发送它。
我
担心
的
是,
恶意
实体可能会
反编译
应用程序
并插入自己
的
代码,以找出我们隐藏
API
密钥
的
方法。
我</
浏览 18
提问于2019-03-08
得票数 0
回答已采纳
3
回答
在Python中保存一个秘密
密钥
python
、
security
、
oauth
、
obfuscation
不过,
我
刚刚开发了一个小型Python
应用程序
,它
使用
了Twitter(因此需要OAuth)。OAuth需要一个消费者秘密,这是为了远离用户。
应用程序
需要这些信息,但是用户不应该能够很容易地访问它。如果这些信息不能被
保护
(而且
我
使用
混淆和
保护
作为同义词,因为
我
不知道任何其他方法),,OAuth
API
最初用于OAuth有什么意义?OAuth--
我
已经考虑过“传送”加密
的
用户秘密,并
浏览 5
提问于2015-05-12
得票数 6
1
回答
google+
如何
保护
内置于ios
应用程序
中
的
api
键?
ios
、
google-plus
的
文档指出: 这是否意味着google (服务器端)以某种方式验证/确保只有
我
的
应用程序
才能
使用
此键?或者,这仅仅意味着googl
浏览 4
提问于2014-10-10
得票数 2
1
回答
Facebook Proxy Loader安全
php
、
flash
、
security
、
facebook
、
proxy
我
正在
使用
PHP代理脚本将图片从Facebook加载到Flash中,而没有任何沙箱冲突。它取自这里
的
指南:。相关
的
PHP代码如下:该指南提到,对于真实世界
的
应用程序
,建议
使用
额外
的
安全措施。有哪些额外
的
措施可以应用于此?也许是某种从Flash传递到PHP
的
密钥
?
我
意识到我不能做什么来完全
保护
Flash
不被
反编译</e
浏览 3
提问于2011-05-19
得票数 1
回答已采纳
2
回答
我
已经将我
的
Google
API
密钥
限制在
我
的
移动
应用程序
包中。它还能被偷吗?
android
、
react-native
、
google-api
用于访问Google Maps
API
的
Google
API
密钥
存储在
我
的
React-Native移动
应用程序
清单中。
我
遵循了这些建议,并将其限制在
我
的
应用程序
包和GCP上
的
Maps
API
上。
恶意
用户可以
反编译
我
的
应用程序
,提取
密钥
和包名称,然后仍然<em
浏览 0
提问于2020-04-22
得票数 0
1
回答
如何
在进行远程调用时
保护
API
密钥
不被
窃取
security
、
architecture
、
password-encryption
、
api-key
我们有用于访问各种外部服务
的
api
_key、
api
_secret。这是当前
的
架构/模型。用户(id、电子邮件...)user_service_configs (id,user_id,
api
_key,
api
_secret) 独立
应用程序
调用在同一台机器上运行
的
独立服务,并在网络上传递(user_id、
api
_key、
api
_secret)。独立服务
使用
传入
的
信息对外部服务进
浏览 3
提问于2014-12-30
得票数 1
1
回答
HTTP PHP身份验证和Android
php
、
android
、
api-design
、
http
、
authentication
我
正在为一个网站工作,
我
希望有一个申请,
以及
。因此,
我
正在创建PHP,它将进入
我
的
数据库,并根据调用
的
方法/函数提供特定
的
数据。 不过,
我
想
保护
这些
API
不被
滥用,
我
计划实现身份验证摘要。然而,
我
想支持
的
操作系统之一是Android。
我
知道,
恶意
用户将能够反向设计Android<em
浏览 0
提问于2012-06-04
得票数 2
2
回答
无用
的
2FA以防内部
攻击者
authentication
、
digital-signature
、
hsm
假设一个服务器端签名场景,其中用户
密钥
在HSM中生成并导出到数据库中,
使用
从用户密码和HSM
的
主
密钥
派生
的
对称
密钥
加密。现在假设有
恶意
的
内部
攻击者
更改
应用程序
代码
浏览 0
提问于2016-06-13
得票数 3
回答已采纳
3
回答
Android:数据库与
应用程序
打包在一起有多安全
android
、
database
、
sqlite
此外,
我
的
应用程序
将
使用
web服务(联系
我
自己
的
网站),例如http:\www.mysite.com/services/xxx
我
的
网站会反过来将一些数据返回给移动
应用程序
。如果有人
反编译
java代码(在apk中),他将很容易访问我用于web服务
的
URL。
如何
保护
网站上
的
数据
不被
恶意
用户攻击
浏览 1
提问于2011-09-26
得票数 11
1
回答
定期重新启动启用安全引导
的
设备是否通过防止持久
的
妥协来提高安全性?
operating-systems
、
integrity
、
rootkits
、
trusted-computing
、
boot
许多设备现在强制执行经过验证
的
/受信任
的
/安全
的
引导,根据Wikipedia
的
说法,这“只允许签名
的
软件在设备上运行”。支持此功能
的
平台包括安卓、iOS、视窗和铬操作系统。据我所知,安全引导
使用
基于密码签名
的
信任链验证引导过程中
的
所有内容,从而防止系统启动。但是,由于此功能仅在系统启动时触发,因此在下一次重新启动之前,在启动过程完成后,它不会
保护
设备
的
安全。如果是这样的话,定期重
浏览 0
提问于2016-11-23
得票数 1
回答已采纳
2
回答
使用
Jetpack
的
EncryptedSharedPreferences和EncryptedFile有什么好处?
android
、
security
、
encryption
、
android-jetpack
、
android-keystore
但“额外
的
保护
”意味着什么呢?根据同一篇博客:
密钥
存储
的
目的不是限制对
应用程序
或
应用程序
数据
的
访问,它<em
浏览 14
提问于2022-06-30
得票数 4
4
回答
SHA1漏洞
sha
、
attack-vector
我
一直在读到,SHA1被认为是弱
的
,如果有足够
的
资源,就会崩溃。
我
想更多地了解这个设置
的
健壮性,
以及
SHA1是
如何
弱
的
。
我
的
问题如下:
攻击者
可以遍历所有可能
的
秘密
密钥
组合,创建一个新哈希,直到找到匹配
的
哈希为止。一旦找到秘密
密钥
,修改在我们之间发送
的
数据(然后生成一个新
的
哈希)将是微不足道<
浏览 0
提问于2016-11-04
得票数 4
回答已采纳
1
回答
如何
保护
节点js
node.js
、
api
、
security
使用
:创建节点JS
应用程序
为了确保
API
的
安全,
我
想我会给每个用户分配一个
API
密钥
,但是
我
脑海中
的
一个问题可能是某个
恶意
用户获取其他用户
的
API
密钥
,他可以
使用
该
API
。那么,
我
的
问题是,
如何
为所有这些黑客
保护
我
的
<e
浏览 0
提问于2018-01-25
得票数 1
回答已采纳
1
回答
确保
恶意
apk不会与我
的
服务器对话
java
、
php
、
android
、
security
我
正在尝试确保不会有人重新编译
我
的
混淆
应用程序
,然后将
恶意
数据发送到我
的
服务器。
我
正在对
我
的
应用程序
的
versionCode和packageName进行SSLed PHP_POST。
我
曾想过
使用
校验和,但这些方法并没有得到谷歌
的
官方支持,而且研究表明,它们不是防错
的
,这意味着它们可能会扰乱合法用户。
我
知道没有什
浏览 0
提问于2013-02-18
得票数 3
回答已采纳
1
回答
可以
使用
明文
的
HMAC和(可能是不同
的
)
密钥
作为IV用于对称加密吗?
algorithm-design
、
symmetric
、
hmac
、
initialization-vector
我
在考虑
如何
为不需要存储状态
的
分组密码创建一个IV,
我
想出了
使用
(填充
的
)明文
的
HMAC和(可能是不同
的
)
密钥
作为IV
的
想法。特别是,如果HMAC和分组密码
使用
不同
的
密钥
,则似乎有一个非常简单
的
安全性证明,假设(1) HMAC不能与随机函数区分,或者(2)块密码对
恶意
选择(但唯一)IVs是安全
的
:
攻击
浏览 0
提问于2015-12-17
得票数 8
回答已采纳
2
回答
恶意
安卓WebView是否破坏了针对CSRF
的
DoubleSubmittCookie对策?
mobile
、
android
、
csrf
、
web-service
、
rest
初始情况:android和iOS平台
的
iOS元素允许创建
恶意
web浏览器,以揭开和修改会话cookie。如果
攻击者
已经弄清楚了双提交cookie
的
外观(在本例中是AuthenticationToken),那么他就能够创建
恶意
RESTBrowser。可能
的
预防措施: 到目前为止,
我
还不知
浏览 0
提问于2013-10-13
得票数 1
回答已采纳
1
回答
如何
在GitHub中提交文件以保持其私有性
git
、
github
、
automated-tests
我
是GitHub新手。
我
创建了一个访问外部服务
的
库(OpenWeather
API
)。这个项目也有一个测试项目。测试要工作,需要一个有效
的
API
键。
密钥
存储在外部文件中。为了保密
密钥
,
我
只提交了这个文件
的
模板: "OpenWeatherApiKey": "YOUR_
API
_KEY_HERE"
我
还创建了一个构建项目并运行测试<em
浏览 3
提问于2021-01-21
得票数 0
回答已采纳
1
回答
在临时文件中注入
恶意
代码
injection
、
tampering
、
object-injection
这让
我
想到了几种可能
的
情况:
恶意
代码令人惊讶
的</e
浏览 0
提问于2018-11-13
得票数 4
1
回答
英特尔SGX和飞地-它有多安全?
intel-sgx
所以我已经开始读到关于这项技术
的
文章,
我
有几个
我
不太明白
的
问题:假设
我
想
使用
一个飞地来存储一个加密
密钥
,是什么拒绝
恶意
应用程序</em
浏览 0
提问于2016-11-30
得票数 1
回答已采纳
1
回答
Trigger.io安全性,特别是针对REST
API
api
、
security
、
rest
、
authentication
、
trigger.io
在这几天里,
我
有一个想法在
我
的
脑海中浮现。
我
使用
trigger.io作为我们
的
移动
应用程序
的
平台。我们都
使用
javascript作为REST
API
的
脚本语言。由于我们
使用
的
是Javascript,因此所有代码,特别是帐户凭证(
Api
密钥
、
密钥
等)如果有人
反编译
应用程序
并查
浏览 2
提问于2013-02-21
得票数 2
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
物联网信息安全更大的安全隐患来自感知层
梆梆安全卢佐华:物联网信息安全更大的安全隐患来自感知层
MPC钱包安全性有待提升?深入分析ZenGo防御特权用户攻击问题
Trojan.AndroidOS.Loapi:Android端恶意软件中的多面手
云计算中需要当心的12个重要的安全威胁,越早知道越好
热门
标签
更多标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
活动推荐
运营活动
广告
关闭
领券