文章目录
APP信息收集
-
随着移动互联网的迅速发展,移动智能终端中包含了大量的个人信息及重要数据,其安全性也日益成为人们共同关注的问题。作为近几年在市场中的份额增长最快、最流行的开源手机操作系统Android,也顺势成为了主要的攻击目标。为了防范恶意攻击,必须在攻击者之前尽可能的发现和了解系统及网络的各项漏洞,并及时做出防范。检查系统漏洞,渗透测试是一个非常好的方式之一。然而,一般的渗透测试方案大多针对传统网络设备及环境,随着传统的网络安全问题出现在移动互联网领域中,针对移动智能终端的渗透测试也显得意义重大。
-
移动app安全方面的威胁主要在本地安全,比如远控、应用破解、信息窃取等等,大多人还没有关注到app服务端的安全问题,但是在这块的安全漏洞也是非常多的。
在海量的应用中,APP可能会面临如下威胁:
木马、病毒、篡改、破解、钓鱼、二次打包、账号窃取、广告植入、信息劫持等
查找APP服务端漏洞的方法
1、反编译APP:有两种反编译方式,dex2jar和AndroidKiller
2、http(s)代理抓包: 这个方法利用在移动设备上设置代理,通过人工操作使app与服务端交互。
工具
安卓模拟器
ApkAnalyser 下载地址:https://github.com/TheKingOfDuck/ApkAnalyser
Androidkiller
burp
脑子
有时候网站防护做的很好的时候,可以从app入手,抓包找后台
抓包、反编译
有些时候经过抓包、反编译可以看到一些敏感信息(IP、接口、账号密码、破解)
时候经过抓包、反编译可以看到一些敏感信息(IP、接口、账号密码、破解)