首先,九陽應該使用https 會好一點點,
http://xxx.joyoung.com/ia/appapi/userdev?param={“sessionkey”:”bcaaef7a1b554039b741391946xxxxxx”,”op_action”:”query”}
第2個是由於android 的app source code 基本上是會被看光光,所以黑箱要放在server side 上面,client side 和 server side 溝通時,應該使用token 而不是該設備id, 只要token 夠長夠而且夠複雜,就比較難被猜到。
資料來源:
HackPwn:九阳智能豆浆机破解细节分析
http://www.freebuf.com/articles/terminal/78196.html
相關文章:
從原始碼了解 Pokémon Go
http://www.inside.com.tw/2016/08/24/source-code-of-pokemon-go
Unbundling Pokémon Go
https://applidium.com/en/news/unbundling_pokemon_go/
A tool for reverse engineering Android apk files (deapk)
https://ibotpeaches.github.io/Apktool/documentation/
Dex to Java decompiler
https://github.com/skylot/jadx
APK decompiler – decompile Android .apk ONLINE
http://www.javadecompilers.com/apk