APP安全测试小技巧

最新推荐文章于 2024-05-26 11:02:25 发布
最新推荐文章于 2024-05-26 11:02:25 发布
阅读量1.9k 收藏 3
点赞数 1
分类专栏: 渗透测试 文章标签: 安全 安卓
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyc1401070320/article/details/105146794
版权

APP安全测试小技巧---证书校验绕过

随着移动互联网的快速发展,很多业务已转移到移动端进行运营,随之而来的就是移动端的安全问题,在早期移动互联网刚刚兴起的时候,很多APP没有重视安全问题,故而没有进行一定的防护,换而言之就运行在手机端的web程序,所以早期安全测试很简单,也很容易发现问题(这里不讨论漏洞问题,只是介绍一个测试小技巧)。

常用的web安全测试往往会借助Burpsuite这个神器进行测试,主要抓包分析。相信很多搞安全的同学都知道APP的抓包方式和流程,这里不多赘述了,抓取http的数据包很容易,但是抓取https数据包时就犯难了,因为经常会遇到SSL Pinning导致测试遇到瓶颈,网上有很多办法可以绕过,例如:

  1. Xposed+JustTrustMe;
  2. 使用Frida绕过;
  3. 其他...(我目前只用过这两个,因为懒)

但是以上很多方法往往需要手机要有root权限,而且过程较为复杂。这里演示抓包失败的例子:

1、在APP内安装证书,并设置好代理;

2、对有做证书校验的APP进行测试,Burpsuite开启抓包时,会提示抓不到,并且APP会进行相应的提示。

使用小技巧(主要通过挂代理,不是直接抓APP的数据包)进行测试,例子如下:

1、开启Burpsuite的代理;

2、开启代理软件proxifier,设置对应的代理服务器和代理规则

需要注意选对应用程序!!!!

3、取消APP上的代理但是要注意仍需安装证书,可以通过APP的文件助手进行安装。

3、可以成功抓取https数据包

以上技巧在一个“养猫博主”指导下完成,仅供参考,有任何疑问请私聊(QQ:1049180739 记得备注来意)

前行的学者
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
APP安全性测试指南——测试工具Drozer
软件测试技术资源分享官
11-08 575
移动 App 的广泛应用,必然伴随着新的应用安全威胁。这些攻击与以前经典的 web app 无关。据 NowSecure 的最新研究表明,有 25% 的 App 包含高风险漏洞,常见的安全漏洞如下:
【软件测试】如何进行APP安全性测试!
m0_58026506的博客
11-07 1078
通常我们队APP所进行的安全性测试包含以下几个模块:安装包安全性、数据安全性、软键盘劫持、账户安全性、通信安全性、备份检查等。下面针对每个模块我们详细说明具体的测试方法。1、反编译目的是为了保护公司的知识产权和安全方面的考虑等,一些程序开发人员会在源码中硬编码一些敏感信息,如密码。而且若程序内部一些设计欠佳的逻辑,也可能隐含漏洞,一旦源码泄漏,安全隐患巨大。为了避免这些问题,除了代码审核外,通常开发的做法是对代码进行混淆,混淆后源代码通过反软件生成的源代码是很难读懂的。
APP安全测试汇总【网络安全
最新发布
2401_84466325的博客
05-26 1019
检测 APP 移动客户端是否经过了正确签名,通过检测签名,可以检测出安装包在签名后是否被修改过。如 果 APP 使⽤了 debug 进⾏证书签名,那么 APP 中⼀部分 signature 级别的权限控制就会失效,导致攻击 者可以编写安装恶意 APP 直接替换掉原来的客户端。
2018年App测试流程及要点梳理
qq_42817356的博客
12-10 2508
先说说,为什么要给大家梳理App测试流程和要点呢? 主要是缘于有太多同学咨询相关App测试的问题,回答的次数多了,就不想打字了,还不如这样全部帮你们整理好,希望各位看到的同学收藏转发,认真学习吸收,将之变为自己理解的内容,直到熟练运用到实际工作中去,此推文小编只分享一次,建议先收藏! 1.App测试流程 1.1流程图 1.2测试周期 测试周期可按项目的开发周期来确定测试时间,一般测试时间为两三周(...
软件测试之App测试 使用Appium和夜神模拟器 测试手机安全卫士
weixin_58045121的博客
07-31 1000
搭建环境配置,通过使用移动Appium工具测试手机安全卫士UI,达到熟悉移动App测试过程,进一步掌握使用移动App测试工具对软件测试的方法。进入D:\android-sdk-windows目录,双击SDK Manager.exe下载对应的包(忘记截图了这里不放图)(1)搭建Android环境,包括安装Android SDK、安装夜神模拟器。(3)手机安全卫士界面测试;(2)配置Appium工具。(1)获取【手机杀毒】按钮属性信息。(2)手机杀毒自动化测试脚本编写。(2)安装Appium测试工具。
App 安全测试
weixin_38754349的博客
08-25 1330
APP安全威胁在App项目中都会碰到三座App安全大山。App客户端安全、数据传输安全App服务端安全。下面以分析检测的思路进行对App安全威胁的这三座大山进行一些剖析梳理总结。工具介绍...
测试AppDemo
05-18
例如,使用静态代码分析工具(如FindBugs、SonarQube)进行代码审查,或者通过动态应用安全测试(DAST)模拟黑客攻击。 8. 符合性和兼容性测试:检查应用是否符合特定标准(如GDPR)以及在不同设备、操作系统版本上...
记账APP小账单源码
04-19
【记账APP小账单源码】是一款个人业余时间独立开发的应用程序,旨在帮助用户进行日常财务管理,已在Appstore上架。这个项目的核心是提供一个简单易用的记账工具,让用户可以方便地记录和追踪自己的收支情况,实现...
微信小程序源码-模仿分答APP
06-04
开发者可以通过阅读源码来学习小程序的开发技巧和实现思路。 4. **JavaScript**:作为小程序的核心语言,JavaScript在小程序中负责处理业务逻辑和数据管理。通过微信小程序的API,开发者可以调用微信提供的各种服务...
android 小技巧rar
05-29
在Android开发过程中,掌握一些小技巧能够极大地提升开发效率和代码质量。这篇压缩包文件"android 小技巧rar"可能包含了一些实用的Android开发经验分享,虽然描述信息为空,但我们可以根据标题和标签来推测其内容。...
基于微信小程序的南通农商银行微银行系统的设计与实现.rar
03-12
《基于微信小程序的南通农商银行微银行系统的设计与实现》...通过深入研究这个项目的源码和文档,不仅可以掌握微信小程序的开发技巧,还能了解到银行系统设计的关键要素,对于提升个人技能和解决实际问题具有重要价值。
移动APP安全测试
02-24
安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是java汇编代码。dex2jar主要是用来把之前zip解压出来的classed.dex转成jar包的jd-gui主要是用来打开Jar包的2.1.1问题描述APP源代码对于一个公司是非常重要的信息资源,对APP的保护也尤为重要,APP的反编译会造成源代码被恶意者读取,以及APP的逻辑设计,反编译方法我们一般想要反编译一个apk,无非就是想获得三样东西:图片资源、XML资
安全测试培训教程
09-10
安全测试培训教程,WEB安全测试APP安全测试安全测试扫描工具
最佳的10款App安全测试工具
fly_enum的博客
06-01 1137
移动互联网时代,我们的生活和工作深受 App 影响。伴随移动 App 的广泛应用,App 安全日益重要。本文介绍了 App 开发可能用到的安全测试工具。当今, 全球移动用户大约超过37亿。Google Play 上大约有 220 万个 App, 苹果App Store 上大约有 20 亿或更多的 App。同时,根据 Flurry 统计数据表明,现在,每个人每天会在移动设备上 花费近 5 个小时的时间。移动 App 的广泛应用,必然伴随着新的应用安全威胁。这些攻击与以前经典的 web app 无关。
app安全渗透测试详细方法流程
Sumarua的博客
06-16 6324
越来越多的网站以及app手机端客户注重安全渗透测试服务,上线前必须要对平台进行全面的预渗透测试找出安全漏洞以及BUG,很多客户找我们,做渗透测试服务的时候对具体的流程可能不太了解,下面我们把具体的渗透测试方法流程大体写的全面一点给大家呈现。 信息收集一般先运行端口扫描和漏洞扫描获取可以利用的漏洞。多利用搜索引擎端口扫描有授权的情况下直接使用 nmap 、masscan 、自己写py脚本等端口扫描工具直接获取开放的端口和获取服务端的 banner 信息。漏洞扫描使用北极熊扫描器、Nessus、awvs等漏扫工
软件测试方法和技巧,App测试工程师必须掌握的测试技巧
weixin_39692623的博客
07-24 531
一、前言移动端测试经过近十年的发展,方法和工具已经非常成熟。很多时候,我们不一定自己非得开发什么工具和平台,利用现有的工具,也能提高质量和测试效率。本文主要根据作者积累的App测试的方法和经验,总结一些App测试的技巧,以及如何利用工具提升测试效率。二、App常用测试技巧1. App测试的正确姿势在进行App测试的时候,手机一定要连接到电脑,同时开启命令行抓取日志和网络抓包工具。这样,如果发现Bu...
APP安全性测试总结--网上转载
weixin_30279751的博客
10-31 1951
移动APP安全测试 老鹰a0人评论7103人阅读2018-08-06 16:22:07 1 移动APP安全风险分析 1.1 安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。 1.2 面临的主要风险 1.3 Android测试思维导图 ...
移动APP安全测试要点
SimonXiaoZhou的专栏
10-23 4850
转自:http://blog.nsfocus.net/mobile-app-security-security-test/ 移动APP安全测试要点 2015-10-23 杨 乔国  阅读: 970 移动APP安全测试要点 上次《 运营商渗透测试与挑战》中提到,随着运营商新技术新业务的发展,运营商集团层面对安全的要求有所变化,渗透测试工作将会面临内容安全
APP安全性测试
a10703060237的博客
06-26 2254
前言:   随着互联网发展,APP应用的盛行,最近了解到手机APP相关的安全性测试,以webview为主体的app,站在入侵或者攻击的角度来讲,安全隐患在于http抓包,逆向工程。   目前大部分app还是走的http或者https,所以防http抓包泄露用户信息以及系统自身漏洞是必要的,通过抓包当你查看一个陌生用户信息时,一些手机号,qq等信息页面上应该不显示的,但这些信息不显示并不代表服务器没有下发,好多都是...
app安全测试怎么测
07-27
App安全测试可以通过以下几个方面进行测评。首先,需要关注服务端API安全、业务逻辑安全、中间件安全和服务器应用安全。可以通过渗透测试的方式对App的服务器进行安全检测,模拟恶意攻击方式进行对服务器攻击,从而...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值