- Düzenlendi
Merhaba arkadaşlar. Ben react native ile bir mobil uygulama yapıyorum. Veritabanında ekleme, listeleme işlemlerini php veya laravel ile yapacağım. Api ile bu verileri mobil uygulamamda göstereceğim. Benim kafamın takıldığı nokta ise şu:
Örneğin bir saldırgan benim mobil uygulamamı indirip uygulamanın hangi web servisine istek gönderdiğini görebiliyor. Yani uygulama içinde kullanıcı kaydı yapılacak x.com/api/register adresine bir istek gönderildiğini bulabiliyor. Şimdi saldırgan uygulamanın trafiğini izleyebildiği için hangi parametleri gönderdiğimide bilebilir ve kendiside bir uygulama yazarak veya herhangi bir şekilde otomatik olarak yüzlerce hatta binlerce hesap açarak uygulamama saldırı düzenleyebilir. Tabi bunu sadece veri ekleme olarak düşünmeyin. Örneğin bir kullanıcının bilgileri çekmek için web servise kullanıcının id'sini gönderdiğimi ve karşılığında web servisten kullanıcının bilgileri çektiğimide düşünün. Saldırgan rastgele id'ler göndererek bütün kullanıcıların bilgilerine sahip olabilir. Benim istediğim benim mobil uygulamam dışında hiçbir şekilde başkası web servisime erişemesin. Bunun mantığı nedir? Bunu engelleyebilir miyim ?
@mgsmus hocam sizin bu konuda bir bilginiz var mıdır acaba?