信息打点--APP资产

最新推荐文章于 2024-06-14 13:37:51 发布
最新推荐文章于 2024-06-14 13:37:51 发布
阅读量568 收藏 7
点赞数 25
分类专栏: 渗透 信息打点 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65342309/article/details/137957843
版权

网站查找

爱企查
小蓝本https://www.xiaolanben.com/
七麦https://www.qimai.cn/
点点https://app.diandian.com/

URL网站备案查APP

1.查备案信息再搜

2.网站上有APP下载

3.市场直接搜单位名称

敏感信息获取

通过获取APP配置,数据包,去获取url,api,osskey,js等敏感信息

1.资产信息---IP 域名 网站---转到对应的web测试 接口测试 服务测试

2.泄露信息---配置key资源文件---key(osskey利用,邮件配置等)

3.代码信息---java代码安全问题---逆向相关

APP中收集资产方式

1.抓包---动态表现

2.提取---静态表现&&动态调试

3.搜索---静态表现

各种提取收据的方式优缺点

抓包提取数据

优点:没有误报

缺点:无法做到完整

反编译提取数据

优点:数据较为完整

缺点:有很多无用的资产

动态调试从表现中提取数据‘

优点:没有误报,解决不能够抓包不能代理的情况

          搞逆向的人能看到实时的app调用链等

缺点:无法做到完整

问题

某app打开无数据包,登录有数据包(反编译后未找到目标资产,抓包找到了)

原因:那个登录界面是APP打包的资源,并没有对外发送数据

静态分析没有这个网址,抓包才会有

APP提取信息

静态分析

在线平台

https://www.zhihuaspace.cn:8888/

工具

MobSF

AppInfoScanner

https://github.com/kelvinBen/AppInfoScanner.git

安装依赖

   python -m pip install -r requirements.txt

运行

扫描Android应用的APK文件、DEX文件、需要下载的APK文件下载地址、保存需要扫描的文件的目录

python app.py android -i C:\Users\K\Downloads\com.longi.hrssc.apk

扫描iOS应用的IPA文件、Mach-o文件、需要下载的IPA文件下载地址、保存需要扫描的文件目录

python app.py ios -i C:\Users\K\Downloads\com.longi.hrssc.apk

扫描Web站点的文件、目录、需要缓存的站点URl

python app.py web -i <Your Web file or Save Web Dir or Web Cache Url>

动态抓包

动态调试

诸葛哈哈
关注
  • 25
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
红队渗透打点工具-FindUpload
03-07
FindUpload是一款红队打点工具,帮助渗透测试人员批量url快速发现文件上传点和登录框,提高渗透测试效率和减少手工发现时间。
swift-LPMAutoStatistics一个自动打点追踪的系统
08-15
LPMAutoStatistics 一个自动打点追踪的系统
web安全学习笔记【17】——信息打点(7)
weixin_42090431的博客
02-26 707
通过获取App配置、数据包,去获取url、api、osskey、js等敏感信息。Mysql、SqlServer、Oracle、Redis、MongoDB等。创宇盾、宝塔、ModSecurity、玄武盾、OpenRASP等。FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync等。技术:JS爬虫/敏感扫描/端口扫描/源码获取/接口泄漏等。PHP、JAVA、Ruby、Python、C#,JS等。Web:语言/CMS/中间件/数据库/系统/WAF等。架构:CDN/前后端/云应用/站库分离/OSS资源等。
信息打点-APP应用
weixin_47227804的博客
07-12 82
主要介绍了在渗透测试中收集APP信息的几种方式 和 APP信息的类别 , APP应用提取技术
信息打点-Web应用
zrx9988的博客
06-26 172
网站管理员在发布代码时,没有使用‘导出’功能,而是直接赋值源代码文件夹到WEB服务器上,这就使。修复建议:删除web目录中所有的.svn隐藏文件夹,开发人员在使用SVN时,必须使用导出功能,禁止直接复制代码。用想要查询的域名关键字进行域名注册,查看相关域名,可能发现同一家公司的不同域名,也可查看whois。SVN是一个开放源代码的版本控制系统,在使用SVN管理本地代码过程中,会自动生成一个名为。隐藏文件夹暴露于外网环境,可以利用```.svn/entries文件,获取到服务器源码。通过IP反向解析出域名。
安全学习DAY12_信息打点-Web应用信息搜集
学废了的阿串的博客
07-30 357
信息打点-业务资产企业查,WEB应用信息打点,域名搜集-单域名,子域名搜集,web架构资产指纹识别,常用信息搜集网站汇总
018-信息打点-APP资产&知识产权&应用监控&静态提取&动态抓包&动态调试
wushangyu32335的博客
01-21 1005
小迪安全2023笔记
红队攻防-信息打点
siu~
09-23 352
在参加一些攻防演练时,往往只会告诉你单位名称,需要红队人员自己对目标单位进行信息收集。 这个时候信息收集的全面性及快速打点能力就至关重要。
信息打点-WEB应用-设备平台
weixin_47227804的博客
07-10 205
本文章会介绍WEB应用最后的一个知识点 : 设备平台 , 包括端口扫描、WAF、蜜罐、CDN这些WEB常见的进攻防御手段
信息打点-业务资产
weixin_47227804的博客
07-05 57
总结关于信息打点中用到的查询平台和业务资产类型
安全学习DAY18_信息打点-APP资产搜集
学废了的阿串的博客
08-19 1377
信息打点-APP资产&静态提取&动态抓包&动态调试,MobSF工具的使用,获取目标APP
uni-app-echarts+PC+移动端中国地图下钻+标点+统计+放大缩小.rar
10-21
预览地址:https://blog.csdn.net/HandsomeGuy_/article/details/120882604
考拉数据打点校验-crx插件
04-02
考拉数据打点校验插件 需求背景目前考拉的埋点方式有两种,一种是通过url后面拼接参数,还有一种是通过 `_.daEvent()` 的方式去手动触发。第一种可以直接通过查看链接有没有带上我们的参数判断埋点有没有成功,第二...
面向云计算平台的信息安全等级保护测评实践与建议
ddcajdkdl的博客
06-14 626
面向云计算平台的信息安全等级保护测评是一项系统工程,需要政府、云服务商、用户及第三方测评机构等多方共同努力,通过持续的技术创新与管理优化,确保云计算环境下的信息安全,为数字经济发展提供坚实的安全保障。
Linux网络编程(二)Socket编程
Oafz的博客
06-12 285
【代码】Linux网络编程(二)Socket编程。
Wireshark TS | 应用传输丢包问题
7ACE的博客
06-09 845
Wireshark TS | 应用传输丢包问题
工业网关在智能制造中的具体应用和效果-天拓四方
最新发布
2401_84969963的博客
06-14 631
通过对数据的处理和分析,我们可以获得设备的运行状态、生产效率、故障预警等信息,为企业提供决策支持和优化建议。未来,随着技术的不断进步和应用场景的拓展,工业网关将在智能制造领域发挥更加重要的作用,为企业创造更多的价值。网关设备通过有线或无线方式与生产设备进行连接,实时收集设备的运行状态、生产数据等信息,并将数据通过安全可靠的通信协议传输至企业的数据中心或云平台。通过工业网关的应用,企业实现了对生产设备的实时监控和数据分析,能够及时发现并解决设备故障和生产瓶颈,提高生产效率。
uni-app地图打点
07-28
在uni-app中实现地图打点功能,你可以使用uni-app的原生API结合第三方地图插件来实现。以下是一种常见的实现方法: 1. 首先,在uni-app项目中安装并引入第三方地图插件,例如腾讯地图或百度地图。你可以通过uni-app...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值