【信息安全服务】APP测试之抓包详述

最新推荐文章于 2024-09-19 15:25:50 发布
最新推荐文章于 2024-09-19 15:25:50 发布
阅读量1.4k 收藏 5
点赞数
分类专栏: 信息安全服务笔记及分享 文章标签: burp APP测试 代理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keylion_/article/details/102958859
版权

【前言】

随着移动端的普及,APP安全性检查显得越来越重要,而且APP测试作为渗透测试分类之一,也开始引起企业的重视。本章博客重点讲解测试前的准备工作,也就是抓包问题。此节内容以burp为例,其他工具类比即可。

不论是测试安卓APP(安装包后缀apk)还是IOS版APP(后缀ipa),需要做的前期工作就是设置代理局域网,简单的来说就是需要APP与电脑在同一个网络下。本篇博客内容主要包括两部分:设置代理,证书安装。下面我们先来讲解如何设置代理。

【设置代理】

STEP-1 设置局域网

一般使用电脑热点或者手机热点,建立一个临时的局域网。本博客以电脑热点建立局域网为例。

建立热点后,利用命令台 ipconfig 命令,查看热点IP:

这个IP比较重要,决定是否代理成功,将手机流量引导到工具中。

STEP-2 设置手机代理

此处IOS系统和Android系统设置操作一致,一般 点开wifi设置 —> 选择热点(第一步中的热点)—>高级设置—>代理(修改网络)

STEP-3 配置Burp工具以及导出证书

按照图中的顺序,点击,正常的话可以在Specific address中查看到我们的热点IP(192.168.137.1) ,选择此IP,配置端口号为8080

证书导出 0x1

 

 0x2

 0x3

 0x4

 0x5 导出的证书文件

 传输到安卓手机端,安装此证书即可。

网上有些博客也说了浏览器访问https://burp的方式安装证书,但是本人经过尝试,并不能安装成功(只有安卓机存在此问题),因为使用此方法下载的证书后缀为der,除非你能找到下载文件,修改 后缀。

STEP-4 IOS手机安装证书

因为苹果手机安装证书比较复杂,所以单独说一下。

连接上热点,并且设置好代理后,在Safari浏览器中,输入https://burp

 点击右上角的CA按钮,弹出下载证书界面:

 导入证书后,在通用设置中 选择 关于本机,勾选信任证书:

 

其他注意事项

0x1  关闭电脑防火墙

0x2  保证移动设备和电脑在同一局域网

Keyli0n
关注
专栏目录
破解java层的签名校验
武天旭的博客
10-03 1211
一、破解java层的签名校验 为Android开发者,我们应该知道没有签名的Apk是无法在真机(模拟器)上安装运行的。为了防止自己开发的Apk被别人二次打包,有些开发者会在App运行获取当前Apk的签名信息并与正版Apk的签名信息进行比对,一旦发现不相同,就会弹出对话框提示用户当前应用是盗版或者终止App的运行,这就是Apk签名校验。
移动端测试——移动端App抓包
weixin_45243288的博客
11-02 1005
App抓包
APP抓包(详细版)
汤圆的博客
12-31 4877
简介 APP安全评估,调试代码等,都会要抓取数据包 判断过程 电脑端: 开启burp suite(一个能抓包,改包工具,也可以用其他抓包工具,网上有很多) 抓取下数据包看看 先要配置下代理,不然不到中间人查看。 手机端: 然后在用手机打开网站看看 一般只能抓http 数据包,HTTPS的抓取不到。 这里我们需要去弄个证书 下载下来然后在手机上安装就好了,证书是der格式,有的手机不支...
APP各种抓包教程
小司机的奥拓
06-15 5869
整理了以上九种不同的抓包方式其实是可以应对目前市面上各大的 APP 抓包场景,当然抓包的方式肯定不只这九种,比如还有肉丝大佬 `r0ysue` 的安卓应用层抓包通杀脚本[10],有兴趣的大佬可以去尝试一下。其实能多掌握一些抓包的技巧,也许能够在测试的过程中发现更多意想不到的新技术。
微信小程序数据包教程抓取,看完就是学会
最新发布
2301_77645750的博客
09-19 2686
有很多粉丝小伙伴问到能不能抓取到微信小程序数据呢?答案当然是肯定的,通过或者Charles这些主流的都可以抓得到,在IOS平台抓取微信小程序和https请求都是一样的设置,接下来给大家通过Fiddler演示如何设置在IOS平台端抓取小程序数据包(Charles也是类似)。
最全APP抓包大法
星哲最开心
03-22 4673
最全App抓包大法
iphone/安卓手机如何使用burp抓包
qq_41424132的博客
12-05 2088
3. 用本地 vscode + liveserver 创建一个简单的html页面,手机访问 http://192.168.31.10:5500/ 下载pem格式证书,会自动安装证书。3.1 如果你不会弄vscode + liveserver,完全可以用电脑把pem文件发送给手机,但是那样就需要在设置中安证书了。4. 手机进入设置 -> Wi-Fi -> 找到HTTP代理选项,选择手动,192.168.31.10:8080。5. 手机访问 http://burp 安装burp的描述文件。
burp实现手机抓包
Animation77的博客
01-13 1918
准备阶段: iphone一台 burp1.7.31 windows10操作系统 第一步: 电脑打开移动热点,手机进行连接 打开cmd命令界面,输入ncpa.cpl查看网络连接的IP 第二步: 手机连上wifi后,配置好代理,IP是电脑那个网卡所显示的ip,端口设一个电脑没有正在使用的端口。 第三步: 打开burp,在Options的Binding配置好端口和ip 第四步: 手机浏览器(用苹果...
fiddler抓包APP操作步骤.docx
09-16
1. 安装成功后,返回到 Fiddler 桌面,清除下多余的地址,点击你要抓包APP 软件,就可以在 PC 上看到 APP 相关的接口和地址信息。 六、查看 HTTPS 1. 打开 Fiddler,Tools——>Fiddler Options…,切换到 ...
iOS APP 安全测试
0x8g1T9E-
05-08 6439
1、ipa包加壳   首先,我们可以通过iTunes 下载 AppStore的ipa文件(苹果 把开发者上传的ipa包 进行了加壳再放到AppStore中),所以我们从AppStore下载的ipa都是加壳的,所以不能直接用来反编译。   得到ipa文件 可以分析APP 里包含的一些资源,如:图片、plist文件、静态wap页、.bundle 等。   所以不要 在plist文件、项目中...
测试
weixin_54218967的博客
04-08 1224
1.简单概述缺陷报告包含哪些内容? 报告编号 唯一的索引标识 标题 简单的描述,传达缺陷的基本信息 报告人 缺陷报告的原始作者 日期 首次报告该缺陷的日期 版本号 软件的哪个版本出现了该缺陷 优先级 开发人员处理和修复缺陷的先后的先后顺序 严重级 描述所报告的缺陷的严重程度 缺陷描述 缺陷的简单描述 运行环境 缺陷报告发生的环境中操作系统的信息 重现步骤 对发现的缺陷进行详细的描述 实验结果 运行测试用例产生的实际结果 预期结果 由需求报告得知的运行测试用例可能产生结果 附件 添加图片或结果文件的方式直观展
这应该是最全的,Fiddler手机App抓包详解,看完还不会来找我...
热门推荐
m0_70102063的博客
08-07 2万+
什么是抓包?用特定的工具获取客户端与服务端之间发送和返回的数据包。目的是分析数据包的协议、内容等,从而判断接口的设计是否符合要求,比如抓包某次请求的请求参数与响应参数,查看参数是否正确。哪些场景下需要抓包?对于初学者或者没有接触过接口测试的同学而言,可能不太明白接口测试或者接口自动化测试为什么一定要学会对接口数据进行抓包。那么在哪些场景下需要抓包获取请求数据呢?1、重现bug,需要截取数据定位问题;2、判断问题是前端bug还是后端bug
burp抓取手机包
denghan9435的博客
03-13 103
burp监听ip和端口要填对应的使用的ip,比如建立了一个网卡wifi,那就填那个ip 手机代理连接wifi的话,就直接先看能不能访问burp监听的端口,然后填上相同代理即可。 转载于:https://www.cnblogs.com/kinome/p/8561244.html...
Web1.2 利用Burp、Zap等抓包工具抓取报文数据包(浏览器数据包,移动设备数据包等)
WSA1635的博客
07-13 1033
引言 上一篇Task1.1中利用浏览器进行抓包的方式有一定的局限性: 例如Google的开发者工具无法直接对请求进行编辑重发,需要通过Copy as fetch/powershell的方式间接实现 火狐浏览器可以直接对请求进行编辑,但无法到本地保存(好像)。尤其当我们想要抓取移动设备数据包,浏览器抓包更无法实现。 因此我们需要一款抓包工具,常用的是Burpsuite,Burp的教程有很多,实际上手也比较简单,具体可以参考这篇 链接: Burpsuite实战指南. Zap也可以进行抓包分析(虽然用的不习惯
Burp Suite抓包工具配置代理手机抓取数据包
伤心的辣条
08-16 2142
工作中很多手机上的问题因为环境差异导致无法在pc设备上完整的模拟真实物理手机,因此需要方法能抓取到手机设备上所有数据包发送详情。发现了这个好用的数据包抓取工具Burp Suite。
burp+安卓模拟器实现抓包获取app相关信息
m0_48396980的博客
08-30 599
这个问题实质上并不难,网上也有很多相关的教程。这里记录一下我实现的小项目~ 首先burp打开相关的监听端口(127.0.0.1:8080),访问https://burp获取证书。 由于证书最后要导入模拟器中(据说安卓手机无法识别.der格式),故通过burp上的 ...
抓包测试相关
weixin_43828415的博客
02-22 207
首先设置端口号,保证手机和电脑在同一网络,然后在手机上填写代理服务器IP(也就是电脑IP)并设置端口,这个候操作手机app,请求就可以被Fiddler、Charles获取了。我们通过在抓包工具上设置代理服务器,然后手机上配置和电脑在同一网络,指定电脑的ip和设置端口,这样网络请求就会先通过代理服务器,就可以被我们抓取到了。在抓取测试app候,抓取登陆的页面,请求参数明文传递,登录成功之后返回的数据是明文,没有经过任何加密。断请求的候可以编辑请求,修改请求参数、请求方式,查看后台异常处理能力。
后门学习记录
aaaxinxin_的博客
01-22 4017
后门学习记录Webshell释义:Webshell来源:Webshell详述:Shell(计算机壳层)Linux的shell分类:WebshellWebshell分类小马/一句话木马大马上传Webshell的方法归类(1)解析漏洞上传1. iis目录解析漏洞2. 文本解析漏洞3. 文件名解析4. fast-CGI解析漏洞5. apache解析漏洞(2)截断上传(3)后台数据库备份(4)利用数据库语句上传1. mysql数据库into outfield2. 建立新表写入木马3. phpMyadmin 设置错误
BurpSuite抓包安卓真机app内容(详细)
m0_65663088的博客
02-02 3345
因为工位上的台式电脑没有WiFi,因此无法与手机连同一个WiFi,但是要确保两者的网段一致并且可以通信。能发给手机就行,你可以微信发送,也可以数据线传输,也可以开python3开个http服务直接用手机访问你的地址然后下载。将代理的地址改成电脑与手机USB共享的内网IP地址,然后监听的端口,我改成了8888。3.3 然后下载下来,证书名称要英文,比如dd.cer,sec.cer等等。因为手机只能安装.cer的证书类型,默认的der格式是不能被识别安装的。注意:文件后缀命名为.cer!1.按图示步骤进行。
小米手机导入Burp Suite 证书、Fiddler证书
大哥一声吼
08-19 8975
众所周知,小米手机导入Burp Suite 的证书是最费事的,今天的问题就是解决如何导入Burp Suite 的https 证书 原因: 只有导入了https 证书,才可以在Burp Suite 找到https 的数据包 首先 导出bp 中的证书,将bp 证书导入到Firefox 中一次证书转换(如果之前使用Burp Suite 的候已经导入过,这一步可以省略) 在Firefox 的选项设置中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Keyli0n

赠人玫瑰 手有余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值