渗透测试信息收集——APP信息

最新推荐文章于 2023-07-19 23:08:17 发布
最新推荐文章于 2023-07-19 23:08:17 发布
阅读量1k 收藏 1
点赞数
分类专栏: 信息收集 网络安全 渗透测试 文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/song123sh/article/details/122902735
版权

文章目录

APP信息收集

  • 随着移动互联网的迅速发展,移动智能终端中包含了大量的个人信息及重要数据,其安全性也日益成为人们共同关注的问题。作为近几年在市场中的份额增长最快、最流行的开源手机操作系统Android,也顺势成为了主要的攻击目标。为了防范恶意攻击,必须在攻击者之前尽可能的发现和了解系统及网络的各项漏洞,并及时做出防范。检查系统漏洞,渗透测试是一个非常好的方式之一。然而,一般的渗透测试方案大多针对传统网络设备及环境,随着传统的网络安全问题出现在移动互联网领域中,针对移动智能终端的渗透测试也显得意义重大。

  • 移动app安全方面的威胁主要在本地安全,比如远控、应用破解、信息窃取等等,大多人还没有关注到app服务端的安全问题,但是在这块的安全漏洞也是非常多的。

在海量的应用中,APP可能会面临如下威胁:

木马、病毒、篡改、破解、钓鱼、二次打包、账号窃取、广告植入、信息劫持等

查找APP服务端漏洞的方法

1、反编译APP:有两种反编译方式,dex2jar和AndroidKiller

2、http(s)代理抓包: 这个方法利用在移动设备上设置代理,通过人工操作使app与服务端交互。

工具

安卓模拟器
ApkAnalyser  下载地址:https://github.com/TheKingOfDuck/ApkAnalyser
Androidkiller
burp
脑子

有时候网站防护做的很好的时候,可以从app入手,抓包找后台

抓包、反编译

有些时候经过抓包、反编译可以看到一些敏感信息(IP、接口、账号密码、破解)

时候经过抓包、反编译可以看到一些敏感信息(IP、接口、账号密码、破解)

Shadow丶S
关注
专栏目录
APP渗透测试-信息收集、证书绕过(AppinfoScanner、MobSF、Frida、r0captur)
墨痕诉清风的博客
05-24 704
Firda 是一款易用的跨平 Hook 工具, Java 层到 Native 层的 Hook 无所不能,是一种 动态 的插桩工具,可以插入代码到原生 App 的内存空间中,动态的去监视和修改行为,原生平台包括 Win、Mac、Linux、Android、iOS 全平台。iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、攻击队成员、r0capture 仅限安卓平台,测试安卓 7、8、9、10、11 可用;如:Title、Domain、CDN、撞纹信息、状态信息等.
渗透测试信息收集
weixin_45859734的博客
12-12 695
信息收集安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小和攻击面的多少,换言之信息收集决定着你是否能完成目标的测试任务。也可以很直接的说:渗透测试的思路就是从信息收集这里开始,你与大牛的差距也是从这里开始的! 我把信息收集大致分为两种情况,有CDN和没有CDN,初学者大都还不明白CDN的概念是什么,有什么作用,所以先简单介绍一下CDN, CDN,内容分发网络(Content Delivery Network,简称CDN)是建立并覆盖在承载
渗透测试 | APP信息收集
尼泊罗河伯的博客
12-03 5340
信息收集可以说是在渗透测试中最重要的一部分,上文对域名信息收集做了一个简要的叙述,认识了旁站 C 段扫描和子域名挖掘。在渗透测试APP 信息收集中,对其进行信息收集可以扩大攻击面,对目标站点进行有针对性的漏洞测试。一些主流的 APP 程序也需要进行信息收集进行风险评估或者安全防范。
渗透笔记-信息收集(3)手机APP其它资产
weixin_44532761的博客
10-07 711
小迪笔记v8
渗透测试——信息收集APP提取敏感信息
Rabbit_runner的博客
01-07 1808
信息收集APP提取子域名 前言 一提到APP,我们就会想到逆向工程,对APP进行反编译,在这里我会用androidKiller这个自动化工具进行APP反编译,成功后我们可以通过输入关键字Http收集到APP发布公司的大量子域名和IP。。。说到这里有种大材小用的感觉 - -。我都反编译成功了App了怎么可能还搜集不到子域名,这里只是介绍了一种方法,可能提取相关IP地址和之前找不到的域名,APP里面也有大量的接口IP和内网IP,我们还可以找到很多安全漏洞。 一、AndroidKiller是什么 ..
渗透测试——信息收集
最新发布
永不落的梦想
07-19 253
信息收集,域名信息收集、IP与端口信息收集、网站信息收集
渗透测试笔记——收集于网络
08-05
信息收集渗透测试中的重要环节,涉及多个方面,例如通过Whois查询网站信息、检测网站IP是否使用CDN服务、分析域名的历史IP记录、识别网站架构和服务器指纹、挖掘子域名、确认网站使用的CMS及第三方js库、搜集DNS...
【小迪安全day09】信息收集——APP 及其他资产
RichUee的博客
11-29 333
安全测试中,若WEB无法取得进展或无WEB的情况下,我们需要借助APP或其他资产在进行信息收集,从而开展后续渗透,那么其中的信息收集尤为重要。
细谈渗透测试的前期工作——信息收集
ElsonHY的博客
12-02 714
细谈渗透测试的前期工作——信息收集前言0x01 收集什么信息0x02 作用和收集方法总结 前言 都说学安全的,查资料找信息什么的都是基本功,收集信息的能力都是杠杠的,经常网上有什么热门的事情,小伙伴们都会来找我帮他们找点瓜吃,也常常让我帮忙找特定的一些岛国教育资料,真是工具人实锤了。。咳咳扯远了,扯远了。 所谓知己知彼,百战不殆,要做好渗透测试,前期的信息收集工作可以说是非常重要了,在面试中这也是高频出现的问题,可能感觉很简单,但是其中还是有很多不可忽略的小细节,往往就是这些小细节决定能否成功渗透的一个
Kali Linux渗透测试之提权(四)——基本信息收集敏感数据收集、隐藏痕迹
橘子女侠
04-25 1493
1. 基本信息收集 (1)在Linux系统下的基本信息收集 1.1> cat /etc/resolv.conf #查看DNS的配置文件 1.2> cat /etc/passwd #查看密码文件(所有人都可以看) 1.3> cat /etc/shadow #查看密码文件(root可看) 1.4> whoa...
AppInfoScanner:一种适用于以HW行动红队渗透测试团队为场景的移动端(Android,iOS,WEB,H5,静态网站)信息收集扫描工具,可以帮助渗透测试工程师,攻击队成员,红队成员快速收集到移动端或静态WEB站点中关键的资产信息并提供基本的信息输出,例如:标题,域名,CDN,指纹信息,状态信息
02-05
该项目总体规划规划项目中的冰山一角,如果您进行此项目研究或想参与后继项目的开发工作或翻译工作中,请发送邮件至说明您的能力和诉求。 AppInfoScanner 一款适用于以HW行动/红队/渗透测试团队为场景的移动端(Android,iOS,WEB,H5,静态网站)信息收集扫描工具,可以帮助渗透测试工程师,攻击队成员,红队成员快速收集到移动端或静态WEB站点中关键的资产信息并提供基本的信息输出,例如:标题,域,CDN,指纹信息,状态信息等。 前言 本项目的开发者目前为个人开发者同时有自己的工作,新的功能或者需求会在闲暇时间进行开发,BUG会优先进行处理。 如果在使用中遇到问题或有新的需求,请在提
@渗透测试信息收集
Froglets的博客
11-16 1734
目录渗透测试信息收集一、信息收集之概述1.1 渗透一个目标系统,最常见的信息手机目标有如下几种:1.2 信息收集的作用二、利用搜索引擎收集信息2.1 利用搜索引擎的收集目标主要有以下几种:2.2 常用的gooleHacking 语法:2.3其他goolehacking语法:2.4典型用法三、通过目标站点收集信息3.1主要的信息收集目标:3.2使用==站长工具==对目标站点进行信息收集:四...
渗透测试信息收集
weixin_46446401的博客
02-26 4141
渗透测试或者挖src中,信息收集是最重要的,信息收集的越多,我们越能找到漏洞所在,所以在这里分享一下我总结的信息收集方法
app渗透-外在信息收集
m0_64815693的博客
06-05 334
app渗透-外在信息收集
渗透测试-信息收集的方法
lza20001103的博客
05-09 3211
渗透测试-信息收集的方法
渗透测试基础-3】渗透测试信息收集的内容及方法
m0_64378913的博客
04-17 5178
目录1 信息收集概述1.1 目的1.2 收集内容2 收集域名信息2.1 Whois查询2.1.1 Whois简介2.1.2 Whois操作2.2 备案信息查询3 收集敏感信息3.1 敏感信息类型3.2 通过搜索引擎收集敏感信息3.3 通过BurpSuite收集敏感信息3.4 其他4 收集子域名信息4.1 子域名检测工具4.1.1 Layer子域名挖掘机5.0下载及使用4.1.2 subDomainsBrute下载及使用4.2 搜索引擎枚举4.3 第三方聚合应用枚举4.4
渗透学习笔记-信息收集(持续更新)
i_kei的博客
12-14 671
Google语句 inurl:admin inurl:login inurl:php?id= site:edu.cn inurl:php?id= site:topsec.com.cn filetype:pdf intitle:i_kei
第9天-信息收集——APP 及其他资产等
MCTSOG的博客
01-18 1676
​ 在安全测试中,若 WEB 无法取得进展或无 WEB 的情况下,我们需要 借助 APP 或其他资产在进行信息收集,从而开展后续渗透,那么其中的 信息收集就尤为重要。 APP 提取一键反编译提取 APP 抓数据包进行工具配合 各种第三方应用相关探针技术 各种服务接口信息相关探针技术 Apk ApkAnalyser-Apk数据提取 需要提取的apk文件放在apps文件夹内,直接运行apkAnalyser.exe 提取出来的文件会在result中 urls一般有文件的url链接 某 APK 一键提取反编
2、渗透测试信息收集(一)
songling515010475的专栏
04-13 306
端口扫描渗透 1、安装Zenmap工具,免积分下载地址:https://download.csdn.net/download/songling515010475/12324157 2、为演示效果在phpstudy环境下创建一个新的站点,端口为8080,并在目录下配置一个静态网页或论坛之类的,这里只是为了演示商品扫描,所以放了一个简单的静态网页。 3、打开Zenmap工具 目标:1...
2016上半年移动应用质量报告——APP测试白皮书
"APP测试白皮书,由TestBird国家手游测试中心独家出版,基于864578个问题数据,深入分析了移动应用的质量现状,包括2016上半年的APP趋势、终端描述、APP质量等方面。" 在移动应用开发过程中,测试是至关重要的环节...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shadow丶S

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值