App

app渗透测试原理

 (app渗透测试和web渗透测试基本没有区别)在项目中90%是没有源码的
其实只要web存在得漏洞,app也都存在,比如:sql注入、验证码绕过、越权、支付漏洞、csrf、变量覆盖、反序列化、文件包含、ssrf、xxe、文件上传等。那么渗透测试的核心就是控制传参(把控传参),只有传参了,产生交互了,才可以把网站渗透测试下来。
app实际上的交互是什么,跟app交互的还是服务器,用的还是http协议。>>>app>网站
正常网站的交互是浏览器到网站 >>> 浏览器>网站    也就相当于app替代了浏览器

在测试过程中会遇到一些安全狗,不要遇到狗就放弃,遇到狗正常,学会绕狗,不要测试几分钟觉得没东西就不测了,不是网站没有洞,是你没有真正深入。搞不定怎么办?>>>把他的信息全部收集,等待爆出0day然后渗透。

app最重要的就是抓app的包,怎么抓包呢?

那首先要安装app,但是windows电脑上没办法安装app,怎么办?建议使用安卓模拟器,例如夜神模拟器

可以直接通过下载地址直接下载:https://www.yeshen.com
模拟器核心就是在电脑上模拟出一个手机

设置代理

设置>WIFI(长按)>修改网络>高级选项>手动代理(主机+端口)
模拟器的IP同虚拟机的IP一样,与本机的IP不是同一个IP。
所以大家设置模拟器的代理主机名,不要写127.0.0.1。要设置本机IP,如:192.168.1.66

配置burp

打开burp>选项>添加选的Ip+端口
访问模拟器的浏览器需要添加证书,
接着访问ip+端口,下载证书
下载完成之后找到文件管理器发现安装不了证书,可以在本地下载证书然后改完后缀后在复制到模拟器
在模拟器找到设置>安全>从SD卡安装,证书名随便设置,在设置一个密码
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值