考勤系統App破解實例分享

近期我們工程師發現一款許多企業正在使用的考勤系統，在沒有任何保護機制前提下，被工程師破解，立即實現了{你在家躺床睡過頭也可以準時打卡上班的情境，甚至可以幫自己延後下班打卡時間，跟主管請加班費，但其實你根本沒有在工作！} 原因是資料沒有加密及簽證，反編譯之後程式碼可讀性極高，容易看出加密的方法，一旦知道方法，就可以算出參數向伺服器取得認證，送出偽造的打卡時間。 簡單來說，可以把資料當成是一封信，我將我的信紙對折，交由郵差（中間人）幫我進行遞送時，他在過程中可以輕易打開我的信件閱讀甚至竄改；但是當我今天將信件裝入信封袋並且使用封蠟印章，郵差當然無法輕鬆打開閱讀我的信件內容。 圖示中紅色框框裡面的數值是參數，它就是反編譯加密方法後所得出的通關密語，只要通關密語正確，伺服器就會接收其所有內容，當然就表示我隨時隨地都可以打卡上下班囉！ appGuard做的就是把信件放入信封進行敏感資料加密，並且蓋上封蠟印章避免資料遭到逆向工程，透過層層保護確保資料的安全及其完整性唷！