目录
信息收集-APP 及其他资产等
在安全测试中,若 WEB 无法取得进展或无 WEB 的情况下,我们需要 借助 APP 或其他资产在进行信息收集,从而开展后续渗透,那么其中的 信息收集就尤为重要,这里我们用案例讲解试试如何!
APP 提取及抓包及后续配合
#APP 提取一键反编译提取
如:“漏了个大洞.zip”里面的cmd命令
#APP 抓数据包进行工具配合
burp抓取https数据包的时候记得提前提前设置好证书的相关问题,不然抓取数据包时有些东西可能会出现问题。
如果apk里面涉及网址,把网址提取出来再转化到web安全,此时apk相当于一种封装。
如果不是web协议(抓不到url地址等等)这种情况则利用反编译(代码分析,需要懂java等开发知识)来查找其他协议。如果不懂反编译则需要利用其他信息。