随着APP的火热,APP安全也是一个大问题,也有很多客户需要做APP的安全测试,故本人分享些测试方法,作为资深Web狗,站在Web角度来做一个APP的安全测试。
多说无用,奔主题—
配置环境
模拟器
首先需要一台安卓机或安卓模拟器 我用的是夜神模拟器 (下载地址:https://www.yeshen.com/)
多个安卓版本,有些APP可能不兼容高版本或者低版本
本次实战的APP不兼容Android 5
于是安排了个Android 7
Burpsuite
再掏出82年的 Burpsuite 1.6
配置代理
模拟器
设置-WiFi-WiFi名字-长按修改网络 设置代理为手动
代理服务器主机名为你burp客户端的IP地址 (必须互通才可以) 端口任意(不冲突就好)
Burpsuite
上硬菜
红烧菜咸鱼之文件上传
先注册了个账户“王强”
此处有坑
可以看到 改完后缀名为1111 上传后还是JPEG
完事往下一翻
安排上
漏洞点二
油炸比目鱼之万千教师信息泄露
逻辑漏洞要点 多点、多看、多测试
一般都在订单、个人信息之类的地方可以多看一看
漏洞位于’搜索’功能
随手打了个’1′ 测试含 1 的用户
点进去抓包
但凡是数字ID 就很香
事实证明是真滴香
信息泄露包含:姓名、手机号、用户ID、地址等信息
拿到这些信息 进一步利用
清炖小甲鱼之用户密码重置
密码重置
拿到手机号后可以尝试重置用户密码
拿 开发人员 账号为例
开始测APP时,注册和找回密码的机制 四位数验证码 比较容易爆破
安排
爆破验证码与工号ID 可以使用 Numbers方式
爆破成功
卤煮武昌鱼之写在最后
每篇文章的评论问题,都有在看,并认真回复问题。
感谢大家好这段时间一直以来的支持,Blog一直秉承免费共享来分享文章技术思路,因工作繁忙,无法定期更新,请见谅。
作者:laolisafe
原文出处:https://zhuanlan.zhihu.com/p/266665890?ivk_sa=1024320u
原文始发于微信公众号(Hacking黑白红):APP安全(基于Web狗的实战APP渗透测试)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论