【APP测试】burpsuite实现APP抓包(手机&模拟器)

最新推荐文章于 2024-06-02 22:42:05 发布
最新推荐文章于 2024-06-02 22:42:05 发布
阅读量1.4w 收藏 36
点赞数 4
分类专栏: APP 测试 文章标签: APP测试 手机抓包 burpsuite 模拟器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43486390/article/details/90080541
版权

实验环境:
Win10
burpsuite
oppo R15X / iphone 6s / 夜神模拟器(Android5.1)

PC连接手机实现抓包(Android和ios都适用)

让手机和PC使用同一个网络,使用电脑开启热点

1、Win10右下角开启热点

电脑开启热点功能

2、并让手机开启WiFi连接电脑开启的这个热点

手机开启wifi并连接电脑热点

3、配置代理

首先得知道热点的IP(这个IP是个虚拟的IP)也是这个IP分配地址给连接它的人使用,双击后点击详细信息可以看到它的IP,
热点IP
在这里插入图片描述

4、手机上配置代理

点击图二中已连接的wifi右边那个详情按钮查看热点详情进行配置,开启底下代理,代理主机填PC热点的地址,端口自己随便填,如下图:
详细配置

5、burpsuite上配置

打开burpsuite,代理------设置------端口(填写手机上设置的那个端口,需要一致)------特定的地址------PC的热点地址------确定
在这里插入图片描述
设置完成后一定要勾选这项设置以使用,不然没法抓到手机的包
在这里插入图片描述

6、手机安装burp证书

以上步骤完成后,打开浏览器地址栏输入输入http://burp,右上角下载CA证书,然后按提示安装即可
在这里插入图片描述
这时打开需要测试的APP,做一些操作查看burp上是否抓到包。

PC连接夜神模拟器实现抓包

1、PC端只自身需要连接上网络即可

2、模拟器上配置代理

右下角,设置------WLAN(打开后可以看到是已经连上的,此时模拟器里面是可以上网的)------鼠标左键长按已连接的WiFi------修改网络------代理改为手动,设置代理IP和端口------保存
在这里插入图片描述
在这里插入图片描述

3、burp上配置代理同上

4、模拟器上配置代理

模拟器中打开浏览器地址栏输入http://burp,------同样右上角下载证书(不能直接安装)------首页左下角有个“下载”可查看下载的内容,没有路径------打开文件管理器右下角可搜索文件名,搜到后要自己记住路径------找到文件后长按鼠标左键重命名将后缀改为.cer------退回首页------设置------安全------从SD卡安装------找到刚刚那个.cer文件------然后安装即可,名字随便,完美
在这里插入图片描述
打开测试APP进行操作,然后看burp上已经能够抓包了。

ps_x
关注
  • 4
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
使用Burp Suite实现安卓app抓包
weixin_45284414的博客
04-01 647
burp中:进入proxy-option-proxy listener-add 地址为上一步的ip,端口也是相同。在模拟器中:长按wifi名-修改网络-勾选高级-选择手动代理 地址为电脑本机ip,端口随意设置。回到安卓模拟器,打开【设置】,选择【安全】,找到【从SD卡安装】,找到你的证书即可。然后选择 der 格式,以.cer后缀命名。
如何用burp抓取手机模拟器的包
m0_52545432的博客
01-10 3171
使用burpsuite抓取手机模拟器的包
手机模拟器进行APP渗透测试抓包(超详细版)
最新发布
shr592833253的博客
06-02 1231
写该博文的初衷是网上虽然也有很多用手机模拟器抓包的教程,但是都不完整,或者就是不适用于新版的手机模拟器,接下来我将一步一步的进行说明,让每个人能顺利抓包!这些都弄好后,保存设置。将证书从kali下载到windows上,然后我们要用abd将9a5ba575.0导入到模拟器中的/system/etc/security/cacerts/路径下。进入mt后,到system/etc/security/cacerts/下,看到9a5ba575.0已存在,但没有执行权限,我们还需给他加响应的权限,才能正常运作。
BurpSuite抓包手机模拟器APP
技术超强的网络安全平台
03-01 1337
1、BurpSuite配置图 2、模拟器配置 3、证书下载安装,打开浏览器,输入配置好的IP端口 4、进入设置->安全->从SD卡安装证书,找到重命名的证书文件cacert.cer安装 5、打开APP或者浏览器测试抓包数据 6、Fiddler设置,模拟器设置同上   ...
使用Burpsuite抓取IOS,Android(安卓)手机app数据
kuokay的博客
05-22 3783
前言 Burp Suite是用于Web应用安全测试、攻击Web应用程序的集成平台,它将各种安全工具无缝地融合在一起,以支持整个测试过程中,从最初的映射和应用程序的攻击面分析,到发现和利用安全漏洞。 之前的文章已经详细介绍过了BurpSuite工具的使用,有不了解这款工具的可以去看看之前的文章https://blog.csdn.net/qq_45066628/article/details/124267042 今天我们来介绍一下使用Burpsuite抓取IOS,Android(安卓)手机app数据的实际使用。
burpsuit抓手机模拟器的包
星空下de青铜
05-29 1313
测试app缺抓不到包? 看这里 学不会请随便喷我
安卓APP测试之使用Burp Suite实现HTTPS抓包方法
09-03
完成这些步骤后,安卓APP的所有HTTP和HTTPS流量都会经过Burp Suite的代理,从而实现抓包。 总结来说,虽然大多数安卓APP采用HTTP通信,但HTTPS的使用也在逐渐增加,尤其是在涉及敏感信息传输时。由于HTTPS使用SSL/...
利用burp进行对APP抓包教程
11-04
使用burpsuite对移动app抓包分析 阅读更多 测试移动APP的联网请求,需要获取路径或者参数的时候,使用该工具burpsuite非常方便! 要求: 移动终端和PC处于同一个wlan环境下
Burpsuite+1.7.26+Unlimited抓包改包发包工具
07-16
二.burp suite使用(一) --- 抓包,截包,改包 https://blog.csdn.net/jinzhichaoshuiping/article/details/47324955 1.设置浏览器-代理 127.0.0.1 8080 2.配置burp监听端口,打开burp-》Proxy-》options-》add 三...
抓包神器:burpsuite+教程
01-12
burpsuite是学习网络安全的必备软件,是一个开源的用于抓包的软件,下载文件后直接点击jar那个包就可以运行了,前提要求是一定要安装Java环境
APP抓包( 过二次校验思路)
01-08
简介 做APP安全评估,调试代码等,都会要抓取数据包 过程 上面我写的一篇博客 https://blog.csdn.net/tangyuan569/article/details/103786986 已经说了怎么简单抓取数据包,和过一次校验抓取数据包的思路和大概的过程。 今天说说过二次校验的思路。 你下载了APP 然后解压 过双向校验的,得先去APP里面找到证书,然后导入到抓包工具里面,因为在向前面所述博客文章,去伪造证书已经不管用了,我们先去找找特征。 比如 搜索 运气好的话能搜索到证书,但是一般都有密码。。 我这里这个APP是没有密码 然后拿到了证书导入进去然后进行抓包即可 但是一
抓包教程】BurpSuite联动雷电模拟器——安卓高版本抓包移动应用教程
qq_47493625的博客
01-12 3277
近期找到了最适合自己的教程,解决了安卓低版本的问题,同时用最简单的办法抓到https的数据包,特此进行文字记录和视频记录。
Burpsuite+夜神模拟器app抓包(安卓7及其以上)
weixin_45852180的博客
10-10 9027
夜神模拟器app抓数据包
Fidder--APP测试抓包神器使用方法分享
Botree_chan的博客
07-28 1944
一、app与服务器交互测试方法 APP测试中难免会遇到同服务器的交互测试,而同服务的交互过程,基本上都是通过接口(API)作为桥梁、参数作为媒介,但是这一步却不是肉眼能看出来的。针对次问题,目前通用的方法有三种: 1、看结果:即就是忽略交互过程,只看结果。弊端:难以发现问题,即使发现问题也难定位; 2、App log:即就是通过app开发添加log来查看交互过程。弊端:log的添加可能会出现
使用Burpsuite对安卓APP和微信小程序抓包教程大全(保姆级教学)
qq_34780861的博客
01-07 5366
微信Windows软件,必须是3.6.0—3.7.0版本下载链接:https://pan.baidu.com/s/1zLkKdz1CG525zSyY28k7yA?在浏览器的扩展插件里下载Proxy SwitchyOmega插件后,按下图所示进行相应的配置。然后再在浏览器里下载证书,浏览器里输入http://burp 右上角下载证书。Proxifier软件下载链接:https://pan.baidu.com/s/1XeyhAdbWaV2c3O54LiP39g?2、打开夜神模拟器,配置好代理后。
App渗透】用BurpSuite抓包安卓手机app内容(详细)
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
06-26 8167
BurpSuite进行抓包,在本机,安卓手机上面作app渗透,详细的用burpsuite在安卓手机上作app渗透的教程。
【渗透测试BurpSuite 手机抓包
SunnyCat
04-28 3816
目录前提条件原理操作效果 前提条件 手机端和PC端在同一个wifi内(同一个局域网内) Burp可以运行 原理 1、在Burp中,使用PC端的IP作为代理,并且生成CA证书 2、手机端设置代理为PC端的IP,并且安装 1 生成的CA证书 3、这样手机端的流量就会从PC端经过,PC可以截流或者修改 操作 1、查看PC端IP,设置Burp代理【102为我的PC端IP,端口随便写,但是要一致】 2、Bu...
app安全测试怎么测
07-27
App安全测试可以通过以下几个方面进行测评。首先,需要关注服务端API安全、业务逻辑安全、中间件安全和服务器应用安全。可以通过渗透测试的方式对App的服务器进行安全检测,模拟恶意攻击方式进行对服务器攻击,从而提高App服务器的安全性。\[1\] 其次,可以在每次启动App时进行自身完整性校验,验证App逻辑中是否存在不属于App的文件。这个过程可以与服务端进行结合完成,确保App的完整性和安全性。\[2\] 此外,还需要对数字证书的合法性进行验证。即使使用了安全通信,如HTTPS,也需要在客户端代码中对服务端证书进行合法性校验。可以使用Fiddler工具模拟中间人攻击方法,如果客户端对于Fiddler证书没有校验而能正常调用,则存在安全隐患。\[3\] 综上所述,App安全测试可以通过渗透测试、完整性校验和数字证书合法性验证等方式进行。这些方法可以帮助发现潜在的安全漏洞并提高App的安全性。 #### 引用[.reference_title] - *1* *2* [App 安全测试](https://blog.csdn.net/weixin_38754349/article/details/119922447)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [app安全测试要点](https://blog.csdn.net/luaijai/article/details/103874952)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值