日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
移動(dòng)APP安全在滲透測(cè)試中的應(yīng)用

這篇文章從去年很早就想寫(xiě),一直沒(méi)時(shí)間,剛好過(guò)段時(shí)間有沙龍是講這方面的東西,整理了下就有了下文。

在上黨等地區(qū),都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局,加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力,以專注、極致的服務(wù)理念,為客戶提供成都網(wǎng)站設(shè)計(jì)、網(wǎng)站制作 網(wǎng)站設(shè)計(jì)制作定制網(wǎng)站,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站設(shè)計(jì),成都全網(wǎng)營(yíng)銷,成都外貿(mào)網(wǎng)站建設(shè),上黨網(wǎng)站建設(shè)費(fèi)用合理。

[[110457]]

以往安全愛(ài)好者研究的往往是app的本地安全,比如遠(yuǎn)控、應(yīng)用破解、信息竊取等等,大多人還沒(méi)有關(guān)注到app服務(wù)端的安全問(wèn)題,于是在這塊的安全漏洞非常多。

移動(dòng)app大多通過(guò)web api服務(wù)的方式跟服務(wù)端交互,這種模式把移動(dòng)安全跟web安全綁在一起。移動(dòng)app以web服務(wù)的方式跟服務(wù)端交互,服務(wù)器端也是一個(gè)展示信息的網(wǎng)站,常見(jiàn)的web漏洞在這也存在,比如說(shuō)SQL注入、文件上傳、中間件/server漏洞等,但是由于部分app不是直接嵌入網(wǎng)頁(yè)在app中,而是使用的api接口返回josn數(shù)據(jù),導(dǎo)致掃描器爬蟲(chóng)無(wú)法爬取鏈接。

下圖是抓的糗事百科糗事列表,contet字段內(nèi)容與我無(wú)關(guān) -_-|||

那么我嘗試去找app服務(wù)端的漏洞,目前想到的兩種方法:

1.反編譯APP 
2.http[s]代理抓包

那么有人應(yīng)該會(huì)提出問(wèn)題,這兩種方式拿到的鏈接都是零零散散的,也不好找漏洞啊,我這邊的利用方式是把所有抓取的鏈接直接提交任務(wù)到多引擎web漏洞掃描器,掃描器可以批量掃SQL注入等等,其實(shí)除了這些漏洞,還有很多可以利用的信息。

一、反編譯APP

有兩種反編譯方式,dex2jar和apktool,兩個(gè)工具反編譯的效果是不一樣的,dex2jar反編譯出java源代碼,apktool反編譯出來(lái)的是java匯編代碼。

1. dex2jar反編譯

工具:dex2jar+jdgui

方法:

a. 修改apk為zip擴(kuò)展名

 

b. 解壓出classes.dex文件

c.使用dex2jar反編譯(dex2jar.bat classes.dex)

最后反編譯出來(lái)的源碼如下圖。雖然部分類被配置proguard.cfg 混淆了,但是還是可以利用的。

2. apktool反編譯

工具:apktool

這個(gè)工具比較簡(jiǎn)單,直接(apktool d apkfile)就可以反編譯apk文件,反編譯出來(lái)的東西為smali反匯編代碼、res資源文件、assets配置文件、lib庫(kù)文件,我們可以直接搜索smali文件和資源文件來(lái)查找鏈接等。

利用app查找網(wǎng)站真實(shí)IP

除了app服務(wù)端的漏洞,還有一個(gè)比較好玩的利用方式,通過(guò)收集app里面的子域名ip來(lái)尋找目標(biāo)網(wǎng)站的真實(shí)IP,根據(jù)經(jīng)驗(yàn),大多app的接口都沒(méi)有使用cdn等服務(wù)。

糗事百科真實(shí)IP

#p#

二、http[s]代理抓包

這個(gè)方法利用在移動(dòng)設(shè)備上設(shè)置代理,通過(guò)人工操作使app與服務(wù)端交互,

步驟:

a. 在抓包機(jī)器上開(kāi)啟代理,測(cè)試可以用burp,需要自動(dòng)化提交掃描任務(wù)可以自己寫(xiě)一個(gè)代理程序,移動(dòng)設(shè)備設(shè)置代理服務(wù)器。

b. 在移動(dòng)設(shè)備上操作app,代理端抓取如下。

總結(jié):

整個(gè)思路已經(jīng)很清晰,那么其實(shí)要做的就是讓這個(gè)過(guò)程自動(dòng)化,反編譯之后有一個(gè)問(wèn)題,url不一定完整,很多URL都是拼接起來(lái)的,我嘗試寫(xiě)一套分析引擎,自動(dòng)化反編譯,然后通過(guò)對(duì)源碼的分析,拼接完整的api url,再進(jìn)行漏洞掃描。

下圖是一個(gè)dome,后面準(zhǔn)備用python來(lái)寫(xiě),放到服務(wù)器上。

 

更多的玩法大家可以自己頭腦風(fēng)暴,還有一些好玩的東西過(guò)段時(shí)間搞好了會(huì)分享出來(lái)


本文名稱:移動(dòng)APP安全在滲透測(cè)試中的應(yīng)用
當(dāng)前地址:http://www.5511xx.com/article/cdiidpc.html