我们正在开发一个混合移动应用程序,对于某些函数调用,有一个名为的URL。以下是获取用户信息的示例请求
http://someurl.com/1234/account
其中:1234 - 是数据库中的用户ID。
我们认为这是一个中间人的攻击"这是可能的。可以嗅探移动应用程序调用的URL,然后黑客只是更改了用户ID的值,并且可以看到其他用户的信息。问题是 - 只需更改名为https的URL解决此安全漏洞吗?
答案 0 :(得分:0)
不,它不会。您正在基于未经身份验证的URL公开用户数据,即使远离移动平台,未经授权方也可以轻松访问已修改的URL。