APP安全(基于Web狗的实战APP渗透测试)

administrator

发表文章数:115

首页 » Web安全 » APP安全(基于Web狗的实战APP渗透测试)
摘要:随着APP的火热,APP安全也是一个大问题,也有很多客户需要做APP的安全测试,故本人分享些测试方法...

随着APP的火热,APP安全也是一个大问题,也有很多客户需要做APP的安全测试,故本人分享些测试方法,作为资深Web狗,站在Web角度来做一个APP的安全测试。
多说无用,奔主题—

配置环境

模拟器

首先需要一台安卓机或安卓模拟器 我用的是夜神模拟器 (下载地址:https://www.yeshen.com/
多个安卓版本,有些APP可能不兼容高版本或者低版本
APP安全(基于Web狗的实战APP渗透测试)
本次实战的APP不兼容Android 5
APP安全(基于Web狗的实战APP渗透测试)
于是安排了个Android 7
APP安全(基于Web狗的实战APP渗透测试)

Burpsuite

再掏出82年的 Burpsuite 1.6
APP安全(基于Web狗的实战APP渗透测试)

配置代理

模拟器

设置-WiFi-WiFi名字-长按修改网络 设置代理为手动
代理服务器主机名为你burp客户端的IP地址 (必须互通才可以) 端口任意(不冲突就好)
APP安全(基于Web狗的实战APP渗透测试)

Burpsuite

APP安全(基于Web狗的实战APP渗透测试)

上硬菜

红烧菜咸鱼之文件上传

先注册了个账户“王强”
APP安全(基于Web狗的实战APP渗透测试)
APP安全(基于Web狗的实战APP渗透测试)
此处有坑
可以看到 改完后缀名为1111 上传后还是JPEG
APP安全(基于Web狗的实战APP渗透测试)
完事往下一翻
APP安全(基于Web狗的实战APP渗透测试)
安排上
APP安全(基于Web狗的实战APP渗透测试)
漏洞点二

油炸比目鱼之万千教师信息泄露

逻辑漏洞要点 多点、多看、多测试
一般都在订单、个人信息之类的地方可以多看一看
漏洞位于’搜索’功能
APP安全(基于Web狗的实战APP渗透测试)
随手打了个’1′ 测试含 1 的用户
APP安全(基于Web狗的实战APP渗透测试)
点进去抓包
APP安全(基于Web狗的实战APP渗透测试)
但凡是数字ID 就很香
APP安全(基于Web狗的实战APP渗透测试)
事实证明是真滴香
APP安全(基于Web狗的实战APP渗透测试)
信息泄露包含:姓名、手机号、用户ID、地址等信息
拿到这些信息 进一步利用

清炖小甲鱼之用户密码重置

密码重置
拿到手机号后可以尝试重置用户密码
拿 开发人员 账号为例
开始测APP时,注册和找回密码的机制 四位数验证码 比较容易爆破
安排
爆破验证码与工号ID 可以使用 Numbers方式
APP安全(基于Web狗的实战APP渗透测试)
APP安全(基于Web狗的实战APP渗透测试)
爆破成功
APP安全(基于Web狗的实战APP渗透测试)

卤煮武昌鱼之写在最后

每篇文章的评论问题,都有在看,并认真回复问题。
感谢大家好这段时间一直以来的支持,Blog一直秉承免费共享来分享文章技术思路,因工作繁忙,无法定期更新,请见谅。

免责声明:本站所提供工具、技术文章,仅供技术学习交流、请勿用于非法行为,请遵守相关法律规定,否则后果自负。作者:administrator, 转载或复制请以 超链接形式 并注明出处 大老李的Blog|渗透测试论坛|红蓝对抗|大型Web安全问答社区
原文地址:《APP安全(基于Web狗的实战APP渗透测试)》 发布于2020-06-19

分享到:
赞(1) 打赏 生成海报

评论 4

评论前必须登录!

  注册

  1. #1

    您好,可以私信向您请教个问题吗,谢谢。

    raquelxixi3个月前 (06-23)
    • 您可以加我微信 主页有联系方式。

      管理员administrator3个月前 (06-23)
  2. #2

    测试

    11

    管理员administrator2个月前 (07-27)
  3. #3

    干>>>>123

    ahui7772个月前 (08-11)

长按图片转发给朋友

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

关于渗透测试入门到进阶教学
后期的系列课程、问答以及工具、思路分享将会在星球发布
切换注册

登录

忘记密码 ?

切换登录

注册