漏洞发现之app应用之漏洞探针类型利用修复
1.思路说明:反编译提取URL或抓包获取URL,进行web应用测试。如不存在或走其他协议的情况下,需要采用网络接口抓包进行数据获取,转至其它协议安全测试。
2.抓包:http/https
burpsuit , charles ,fiddler ,抓包精灵
3.电脑APP模拟器:逍遥模拟器。
api接口服务之漏洞探测
1.web应用程序和APP跟目前流行框架,模式有关,主要有三种模式:MVC,MVP,MVVM。
MVC:将整个应用分成model,view,controller三个部分。而这些组成部分也有着几乎相同的职责。
2.方法:
(1)找webservice接口:
inurl:jws?wsdl filetype:asmx filetype:php
unurl:asms?wsdl filetype:ascx filetype:pl
filetype:aspx filetype:ashx filetype:wsdl 还有许多wsdl结尾的都是。
filetype:dll filetype:jws filetype:exe
(2)fuzzing
(3)爬虫