APP渗透测试-使用Burpsuit抓包开展对APP的渗透测试

最新推荐文章于 2024-05-10 11:51:09 发布
最新推荐文章于 2024-05-10 11:51:09 发布
阅读量266 收藏 6
点赞数 10
分类专栏: 安全测试 app 文章标签: 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44406011/article/details/138315369
版权

这里写自定义目录标题

1.电脑端配置

真机做APP渗透,需要电脑端与APP端连接同一个网络,确保两者的网段一致并且可以通信。
通过电脑查看网卡wifi的IP地址
在这里插入图片描述

ipconfig也可以去查看
在这里插入图片描述

2.Burpsuit配置

在这里插入图片描述

3.手机端配置

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4.将BP中导出的证书安装在手机上

导出文件自命名为.cer文件
在这里插入图片描述

在这里插入图片描述

文件后缀命名为.cer !!!!!!!!!!!!
因为手机只能安装.cer的证书类型
安装在手机上

5.BP抓包

在这里插入图片描述

汪敏wangmin
关注
  • 10
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
渗透实战-抓取APP流量包
beirry的博客
12-04 3080
现在渗透测试不仅要对传统的web测试,还要对APP,微信小程序,微信公众号进行测试。 接下来我将对微信小程序来进行抓包发送给burpsuit。这里选择本地模式,管理员启动 点击连接引擎 配置系统代理 配置以下内容,点击配置HTTP/HTTPS代理 启用成功 打开左边的手工渗透测试,点击MITM,点击劫持启动,即可运行 可以看到右上角有手动劫持,自动放行,被动日志三个选项,现在处于自动放行状态,则不抓包 输入手机号,获取验证码可以看到抓取到数据包
渗透测试-burpsuite抓取PC客户端数据包
CS_DDN的博客
04-22 2811
burp抓包PC客户端数据包
Android APP渗透测试方法大全.pdf
07-30
本文档总结了安卓应用程序渗透测试的各种方法100多页,非常全面,适合不同基础的人阅读、学习。 Android APP 渗透测试方法大全 一、Android APP 渗透测试方法 二、工具使用 三、常用测试工具以及环境平台 四、风险等级评定
APP渗透—Android 7.0 抓包(教程)
hackzkaq的博客
04-26 9579
零基础学黑客,搜索公众号:白帽子左一 关于APP渗透的教程及思路,之前发过视频,视频地址:https://www.bilibili.com/video/BV1WK411w7UA/ 用到的工具 1.Proxifier(可在内网渗透上课件中找到)或:https://www.jb51.net/softs/527902.html 2.burpsuite(其他抓包工具亦可) 3.雷电模拟器4 (Android 7)https://www.ldmnq.com/?n=6000&bd_vid=7476744816
渗透测试 ---- 信息收集
SK1ng的博客
08-30 292
信息收集 WEB 程序源码 在安全测试中,Web源码是一个重要的信息来源,可以通过审计源码找出漏洞,也可也根据网站使用的框架和CMS测试可能存在的漏洞。获取到Web源码可以为后期的测试提供更多思路 Web源码目录结构 admin 网站后台路径 data 数据相关目录 install 安装目录 member 会员目录 tmp 模板目录(和网站相关的整体框架) data → config.php 数据库配置文件,网站和数据库的通讯信息、连接账号密码 Web源码脚本类型 ASP、PHP、ASPX、JSP、JA
安应用APP渗透测试方案
疯鸟
06-20 2089
文章转载,请注明出处:http://www.webshentou.net/1 、知道创宇安应用简介 安应用模拟黑客对应用进行安全性测试,审计其风险,提供解决方案。可帮助企业全面发现业务漏洞及风险。 在黑客之前找到可导致企业数据泄露、资损、业务被篡改等危机的漏洞,企业可对漏洞进行应急响应、及时修复。避免对企业的业务、用户及资金造成损害。1.1 服务内容1.1.1 安全性漏洞挖掘 出应用中存
burp如何抓安卓app的数据包?
Bul1et的博客
11-07 3181
一:下载证书 Burpsuit设置代理 浏览器设置代理 浏览器访问IP下载burp证书     下载之后放到桌面  改后缀.crt   待用 二:证书导入手机 数据线连接电脑和手机 然后在手机上选择传输文件 然后你会发现电脑多了一个盘   这个就是手机的目录 把证书粘贴进去   记住这个目录 三:手机安装证书 手...
渗透测试===使用BURPSUIT暴力破解某网站的手机验证码
软件测试技术的博客
02-22 1794
手机短信验证是企业给消费者(用户)的一个凭证,通过手机短信内容的验证码来验证身份。主要用来用户注册,找回密码,用户登录等等作为强身份认证。 目前验证码的格式主要是数字,从4位到6位不等。一般来说验证码都有有效周期2~10分钟,甚至更长,超过有效周期验证码自动失效。 那么如果要想在有效的时间里爆破验证码必须多线程。假设验证码是4位,从0000~9999的10000种可能用多线程在3分钟内跑完...
使用Burpsuite抓取IOS,Android(安卓)手机app数据
kuokay的博客
05-22 3732
前言 Burp Suite是用于Web应用安全测试、攻击Web应用程序的集成平台,它将各种安全工具无缝地融合在一起,以支持整个测试过程中,从最初的映射和应用程序的攻击面分析,到发现和利用安全漏洞。 之前的文章已经详细介绍过了BurpSuite工具的使用,有不了解这款工具的可以去看看之前的文章https://blog.csdn.net/qq_45066628/article/details/124267042 今天我们来介绍一下使用Burpsuite抓取IOS,Android(安卓)手机app数据的实际使用
Android APP渗透测试方法大全-137页.pdf
10-08
Android APP渗透测试方法大全-137页
安卓App压力测试-Monkey的使用
01-27
Monkey是安卓开发工具包SDK自带的一个命令行工具,可用于安卓App的压力测试,其原理是通过命令行向手机发送随机事件的指令,随机事件包括点击,划屏和输入等操作,这些操作都是随机不可控的,可控的是需要操作的App...
APP渗透测试基线案例
12-22
APP渗透测试基线案例
Android APP渗透测试方法大全
12-04
Android APP渗透测试方法大全
Charles小程序抓包(安卓版)
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
02-23 1057
打开Charles,打开上方工具栏中Help---Register Charles,输入用户名和激活码。然后,抓取包的规则配置(*是代表抓取任意端口和域名,如果只抓取固定的端口or域名可自行设置。3.打开电脑热点,手机连接电脑热点。因为主要是联动手机对微信抓包,所以可以关闭windows端的抓包,避免干扰。1、Windows+Burp+Proxifier(配置困难,数据包卡顿)4.手机访问小程序或者公众号,在Charles和burp都可以看到包。3、Burp+Charles(本文测试抓包完整,放包流畅)
WHAT - 前端安全性测试和常见攻击手段
weixin_58540586的博客
05-10 1402
前端安全性测试和常见攻击手段。
scratch2源码反重力空间(无尽版)
05-30
scratch2源码反重力空间(无尽版)提取方式是百度网盘分享地址
scratch2源码火柴人激情格斗
最新发布
05-30
scratch2源码火柴人激情格斗提取方式是百度网盘分享地址
手机app渗透测试抓包
09-06
手机App渗透测试抓包是指通过抓取手机App传输的数据包,以便对该App进行安全性评估和漏洞分析的过程。以下是一种方法来进行手机App渗透测试抓包: 1. 首先,确保你的手机已经越狱。越狱是为了获取更高的权限以执行一些系统级操作,如安装插件和修改系统设置。 2. 安装一个支持抓包的插件,比如SSL Kill Switch 2。此插件可以绕过SSL证书验证,以便抓取使用HTTPS协议传输的数据包。 3. 在重启手机后,你可能需要重新进行越狱操作,以便能够在系统设置中找到SSL Kill Switch 2插件。 4. 打开插件开关,并重新打开你想要抓包的应用程序。这样,插件就会开始抓取该应用程序传输的数据包。 5. 通过配置网络设置,确保你的手机和计算机处于相同的局域网中。这样,你就可以在计算机上使用抓包工具来捕获和分析这些数据包。 使用SSH通道和SCP上传插件的.deb包到你的iPhone中是一种安装插件的方法。你可以使用某思助手等工具来打开SSH通道,并使用SCP命令将.deb包上传到指定目录。然后,通过SSH登录到你的iPhone,并使用dpkg命令安装该.deb包。最后,使用killall命令重新加载SpringBoard,以使插件生效。 请注意,手机App渗透测试抓包仅用于合法的安全研究和评估目的。在进行任何安全测试之前,请确保你已经获得合法权限并遵守相关法律和政策。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [APP渗透测试之IOS突破SSLPinning技术抓取HTTPS数据包](https://blog.csdn.net/qq_42111373/article/details/122702412)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汪敏wangmin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值