移动安全测试
关注
分享
扫一扫
Fudo_Yusei
学习网络安全~
展开
-
模拟器中安装和使用Drozer总结
最近在做Android渗透测试的学习,需要测试基础项,其中需要用到的一个很重要的软件的就是Drozer,简称dz,这里对用模拟器成功安装Drozer做一个总结。1. 环境JDK+Windows102. 模拟器这里我使用的是夜神模拟器,之前也用了雷电的模拟器,但是雷电的模拟器在测试安卓应用时经常卡死不知道什么原因。附上夜神模拟器下载地址:https://www.yeshen.com/cn/...原创 2019-08-09 11:15:43 · 578 阅读 · 3 评论 -
使用BurpSuite对app抓包教程
使用BurpSuite对app抓包教程1. 前言这里给出burp2.0的下载链接:https://pan.baidu.com/s/1-UhPLXcLUEXDcMIWzT50fw提取码:vxym2. 流程前提条件是保证安卓手机(模拟器)和笔记本都连在同一wifi下首先导出证书,选择Import/export CA certificate,在选择Certificate in DER f...原创 2019-08-09 11:23:11 · 6045 阅读 · 0 评论 -
使用Xposed+JustTrustMe突破SSL Pinning验证
1. 前言1. 遇到的问题之前在做app渗透测试的时候遇到一个问题,就是我使用burpsuite对app进行抓包时,app一直显示网络请求失败(如图1.1-1),不能进行正常的操作,burp也抓不到数据包,但是不挂代理进行正常访问又可以。一开始以为是https的证书问题,就把burp的证书重装了一遍,发现问题仍然存在,但是我抓取浏览器和其他的app程序就能正常抓到数据包,一时间慌的不行,以为凉...原创 2019-08-09 11:27:09 · 3846 阅读 · 0 评论 -
Android APP应用完整性检查
1. 前言APK应用完整性即移动客户端程序安装后,在每次启动时都会对自身文件进行完整性进行校验。防止攻击者通过反编译的方法在客户端程序中植入自己的木马,客户端程序如果没有自校验机制的话,攻击者可能会通过篡改客户端程序窃取手机用户的隐私信息。2. APK应用完整性检查1. 使用Apktools反编译APK文件进入apktool文件夹下,输入以下命令,反编译apk文件apktool d xx...原创 2019-08-09 11:49:34 · 5265 阅读 · 1 评论 -
突破SSL Pinning进行抓包
1. 前言1. 遇到的问题在做app渗透测试的时候遇到一个问题,就是在使用burpsuite或者stream在对app进行抓包时显示证书无效2. 突破SSL Pinning1. SSL PinningSSL Pinning又叫SSL证书绑定,客户端在收到服务端的证书之后,对该证书进行强校验,验证该证书是否为客户端承认的证书,如果不是,则直接断开连接。也就造成了之前我遇到挂代理后显示网络...原创 2019-09-26 13:06:23 · 4171 阅读 · 0 评论