这是一个创建于 394 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前的情况: 接口对接了第三方的鉴权服务,需要携带指定的 header 头部才可以请求通过,为了避免轻易破解,接口返回的内容做了 Rc4 加密,但是还是被盗用了,现在怀疑 app 被反编译了,使用的 360 加固,各位大佬有没有用过性价比高的加固服务?或者遇到过类似的问题,如何解决的?
 |
1
exiahan 2023-10-07 14:35:52 +08:00
看你的服务值多少钱,你的用户黏性多大,你能舍得下多少成本了:
1. 要求登录,单用户做日 Quota 限额,频率限制,加验证码 2. 注册要用手机号,手机号接入一些过滤服务 3. 请求 IP 也接入过滤服务 4. 定期(每周/每日)拉请求量,过高的账户重点监控,人工介入观察 e.g....... |
 |
2
murmur 2023-10-07 14:39:39 +08:00
风控和用户体验你总得选一个,最后就跟淘宝一样,搜索一次拉一次验证码图片
首先必须得实名制,不登录禁止使用核心业务 |
 |
3
pws22 2023-10-07 14:40:57 +08:00
加固+请求和返回加密用 so 文件,native 调用,代码混淆,逆向过相关的几个 app,这样几种方式可以杜绝好些个了,如果真有足够大的利益来搞的话,也很难
|
 |
4
NessajCN 2023-10-07 15:11:12 +08:00
学 openai 多验证几遍呗
|
 |
5
hongfs 2023-10-07 15:14:08 +08:00
抖音这类 APP 也可以被盗用接口,我们在自己的能力范围内做到尽可能的好就可以了。
|
 |
6
choochoofly 2023-10-07 15:19:06 +08:00
无法避免的,现在针对加固,都直接弄个脱壳机直接把 dex dump 出来,除非都弄成 so ,反编译避免不了的
|
 |
7
deng81416754 2023-10-07 16:40:12 +08:00
360 加固没啥用,在 52pojie 上 有教怎么逆向的,在调用接口上控制频率 次数限制 ip 发现了 直接拉黑 发函
|
 |
8
owen800q 2023-10-07 16:49:18 +08:00
用 flutter 重写,我的 app 之前被人偷接口用,后来用 flutter 重写,接口签名算法一定要在 dart 上写, 至今没被人破解过, flutter 就是天然的 vm, 市面上的 reflutter 根本没屌用
|
 |
9
stuazt 2023-10-07 16:51:37 +08:00
把接口签名/加密的部分放到 native 层做成 so ,并且 native 验证本包的数字签名。
|
 |
10
RunningRabbit OP |
 |
11
SoyaDokio 2023-10-07 17:25:53 +08:00  1
不要考虑技术性方案了,道高一尺魔高一丈没个头。
要么考虑#1 的设计性方案,要么考虑法律性方案 |
|
12
RunningRabbit OP |
Select Language