作者 | 漏洞404
编辑 | L
[漏洞404] 学习文章
网络安全需要你我共同努力
如需转载,请联系平台
APP作为个人信息处理的重要载体,已成为监管重点,如不履行隐私合规义务,将会面临行政处罚与民事责任的双重后果。APP运营者需要主动合规、实质合规,以满足日益严格的监管要求。
应用程序与服务器通信,通常使用 HTTP 协议进行数据传输。而 HTTP 协议不对传输数据进行加密,认证过程中传输未加密(可导致账户敏感信息泄露,攻击者可以截获上述信息,查看、篡改数据内容,或者进一步攻击)在较敏感的页面应该采用 HTTPS 传输,比如注册、登录、控制台等。例如 Gmail、网银、iCloud 等则全部采用 HTTPS传输。HTTPS/SSL 主要起到两个作用:网站认证、内容加密传输和数据一致性。经 CA 签发的证书才起到认证可信的作用。
逍遥模拟器
真机
BurpSuite
Fiddler
wireshark
BurpSuite配置代理:
打开 BurpSuite【中文版】 抓包工具,在 代理->代理设置 选项卡中,在Tools Proxy 中点击 添加 添加监听端口,ip 地址选择当前网卡地址,端口填写8888,点击 OK 保存:
逍遥模拟器配置代理
打开逍遥模拟器进入设置->网络与互联网:
点击WLAN->再点击进入网络里面
在点击小笔,然后输入与BurpSuite配置代理的ip端口一致的内容
点击保存即可
运行待检测的app,在BurpSuite【中文版】代理->http历史记录中查看数据包中是否使用了https协议
如果无法通过 burp 抓包,可使用 wireshark 抓包查看 APP 使用何种协议进行通讯:
中风险:
没使用 https 协议进行通讯。
无风险:
使用了 https 协议进行通讯
使用 https 协议进行加密通讯
原文始发于微信公众号(漏洞404):app客户端评估- 通信加密检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论