信息打点-APP资产&知识产权&应用监控&静态提取&动态抓包&动态调试

最新推荐文章于 2024-06-05 12:45:00 发布
最新推荐文章于 2024-06-05 12:45:00 发布
阅读量765 收藏
点赞数 1
分类专栏: Cyber-Security 文章标签: APP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/129948715
版权

文章目录

案例1:名称获取APP信息(爱企查/小蓝本/七麦/点点)

1、爱企查知识产权
2、七麦&点点查名称
https://www.xiaolanben.com/
https://aiqicha.baidu.com/
https://www.qimai.cn/
https://app.diandian.com/

案例2:URL网站备案查APP

1、查备案信息在搜
2、网站上有APP下载
3、市场直接搜单位名称

通过获取App配置、数据包,去获取url、api、osskey、js等敏感信息。
1、资产信息-IP 域名 网站 -转到对应Web测试 接口测试 服务测试
2、泄露信息-配置key 资源文件 - key(osskey利用,邮件配置等)
3、代码信息-java代码安全问题- 逆向相关
APP中收集资产
1、抓包-动态表现
2、提取-静态表现&动态调试
3、搜索-静态表现

1、抓包抓表现出来的数据
优点:没有误报
缺点:无法做到完整
2、反编译从源码中提取数据
优点:数据较为完整
缺点:有很多无用的资产
3、动态调试从表现中提取数据
优点:没有误报,解决不能抓包不能代理等情况
优点;搞逆向的人能看到实时的app调用链等
缺点:无法做到完整

案例:某APP打开无数据包,登录有数据包(反编译后未找到目标资产,抓包住到了)
原因:那个登录界面是APP打包的资源,并没有对外发送数据

案例3:APP提取信息-静态分析

1、MobSF
2、AppInfoScanner
3、两个在线平台
https://mogua.co/
https://www.zhihuaspace.cn:8888/moBsf套壳
在这里插入图片描述

https://github.com/kelvinBen/AppInfoScanner

MObSF使用
https://github.com/MobSF/Mobile-Security-Framework-MobSF
Windows - MobSF安装参考:
https://www.cnblogs.com/B-hai/p/15696948.html
https://blog.csdn.net/ljh824144294/article/details/119181803

案例3:APP提取信息-动态抓包

-前期部分抓包技术

案例3:APP提取信息-动态调试

-MobSF+模拟器

An0nymouer
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
摸瓜的高级用法-APK对比分析
gulimipentest的博客
05-26 4231
摸瓜(网址:[https://mogua.co](https://mogua.co))是常用的apk反编译网站。大部分用户在用摸瓜的时候,都是使用的最基础的功能,比如看一下没有域名、ip等,就以为没啥用。其实摸瓜的隐藏功能很多,包括源代码分析、Androidmanifest分析等等。 本文除了介绍上面的功能外,还介绍一个摸瓜网站里大家不常用的功能:APK对比分析。这个功能可以对比两个apk中的线索是不是有相同,这样可以轻松判断两个apk是不是一个开发者。当然,用这个功能,也可以识别官方apk和假apk。
易语言-静态打点调试工具-发条陈
03-31
《易语言静态打点调试工具——打造高效日志输出与分析环境》 在软件开发过程中,调试是一项至关重要的任务,它能帮助我们发现并修复代码中的错误。在易语言编程环境中,开发者面临着如何在静态编译后有效地进行调试...
sx:快速强大易于使用的现代化网络扫描器
m0_59598029的博客
08-02 140
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机和防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描:扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描:扫描UDP端口并获取全部ICMP响应,以检测开放端口和防火墙规则;
Windows10中-搭建MobSF环境
qq_57375842的博客
05-31 3614
看了很多关于windows上安装mobsf的文章,都没有具体找到我安装时的问题,相信这篇文章能够帮助到大家
【移动安全】MobSF联动安卓模拟器配置动态分析教程
最新发布
qq_44005305的博客
06-05 1156
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。好处:干净,部署简单,不用安装乱七八糟的环境,防止破坏其他应用的运行环境!
APP渗透—MobSF安全评估、frida、r0capture抓包
剁椒鱼头没剁椒的博客
04-21 4337
在之前的文章都已经介绍了如何对APP应用及小程序的抓包方式,本次将主要探讨,如何更全面的获取详细信息与获取非HTTP/S的流量,同时利用自动化工具对APK文件继续自动化扫描相关的威胁。APP与小程序—信息收集Frida分为客户端和服务端。客户端:PC(控制端)服务器:手机设备(被控制端)客户端编写的Python代码,用于连接远程设备,提交要注入的JS代码到服务端,接受服务端发来的消息。服务端中需要用JS代码注入到目标进程,操作内存数据,给客户端发送消息。
APP安全学习
weixin_45794666的博客
02-22 1033
全局扫描 mobsf 安装要求 Install Git Install Python 3.8-3.9 Install JDK 8+ Install Microsoft Visual C++ Build Tools Install OpenSSL (non-light) Download & Install wkhtmltopdf as per the wiki instructions Add the folder that contains wkhtmltopdf binary to envi.
uni-app-echarts+PC+移动端中国地图下钻+标点+统计+放大缩小.rar
10-21
这个项目展示了如何使用uni-app和ECharts构建一个跨平台的可视化应用,其中包含了中国地图的下钻功能、地图上的标点展示、数据统计以及地图的缩放操作,这些特性结合在一起,为用户提供了一种交互性强、信息丰富的...
基于后动态聚焦振镜系统激光打点优化研究
02-05
导光板(LGP)作为液晶显示(LCD)技术的背光源,已得到了广泛的应用。导光板材料的反射面有大量反射点,...提出一套基于后动态聚焦振镜系统的激光打点方法及相应的工艺优化方法,该方法加工效果优异,加工效率显著提高。
毕业设计&课设--基于uniCloud的「全端、全栈、独立开发」的小日常时间打点打卡小程序 ~ 可用于毕业设计.zip
02-20
1. **uni-app**:uni-app是一个使用Vue.js开发所有端的应用框架,支持编译到iOS、Android、H5、微信小程序、支付宝小程序等平台。它简化了跨平台开发的复杂性,开发者只需要编写一套代码,就能实现多平台运行。 2. ...
移动端渗透测试框架MSF
09-24
移动端渗透测试框架Mobile-Security-Framework-MobSF-master,可以搭建完成后进行移动端渗透测试
vue动态渲染svg、添加点击事件的实现
12-28
3.动态改变svg内部元素的属性和值 html标签 经多次实验,用embed、img等标签改变src属性的方式,均无法实现上述全部功能(尤其是svg内部点击事件),最终采用Vue.extend()方法完整实现,代码也较为简洁,html结构...
安全学习DAY18_信息打点-APP资产搜集
学废了的阿串的博客
08-19 1390
信息打点-APP资产&静态提取&动态抓包&动态调试MobSF工具的使用,获取目标APP
【安装体验】MobSF,一款开源移动安全测试框架
LeeHDsniper的博客
05-04 1万+
前言本系列前面的文章说过,为了某信息安全比赛,我选了一个APK行为分析的题目。之前一直在研究安卓的编程,然后看了一下关于apk分析方面的书,觉得完全没有目标,不知道如何下手,偶然间在freebuf闲逛的时候,随手搜了一下这方面的资料,还真找到了两篇文章: http://www.freebuf.com/sectool/99475.html http://www.freebuf.com/sectool/
信息收集之“骚”姿势
weixin_50464560的博客
11-10 1181
https://mp.weixin.qq.com/s/JTv4UVhInvcYqQWbT3OKCg 0X01字典制作篇 tesla.cn为例子 在线子域名查询 (https://phpinfo.me/domain) tesla.cn前缀就是子域名,都可以作为用户名或者密码字典的制作。 企业邮箱前缀,其实也可以作为用户名或者密码的字典制作。 这里给大家推荐几个,平时使用较多的邮箱查询地址。 (个人感觉前面两个较为好用) https://phonebook.cz https://hunter.io http:
动态分析 Android 程序—动态分析框架 工具_adb forward tcp 8008 tcp 8008(1)
2401_84970106的博客
05-14 906
获取APP基本信息权限:请求权限(Requested Permissions)、自定义权限(APP Permissions)组件:导出和非导出的组件(Activity、Service、Broadcast Receiver、Content Provider)共享库(Shared Libraries)标志位:Debuggable,Allow Backup其他:UID,GIDs,Package等实时查看应用程序的行为Shared Preferences(日志和文件)
移动安全测试框架-MobSF环境搭建
热门推荐
阿凡提水壶的专栏
12-30 1万+
文章目录 系列文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基
uni-app地图打点
07-28
在uni-app中实现地图打点功能,你可以使用uni-app的原生API结合第三方地图插件来实现。以下是一种常见的实现方法: 1. 首先,在uni-app项目中安装并引入第三方地图插件,例如腾讯地图或百度地图。你可以通过uni-app插件市场或者npm进行安装。 2. 在需要使用地图的页面中,引入地图组件,并在data中定义相关变量,如下所示: ```vue <template> <view> <map :longitude="longitude" :latitude="latitude" :markers="markers"></map> </view> </template> <script> export default { data() { return { longitude: 0, // 经度 latitude: 0, // 纬度 markers: [], // 打点信息 }; }, }; </script> ``` 3. 在页面的`onLoad`生命周期钩子中获取用户当前位置的经纬度,并将其赋值给`longitude`和`latitude`变量: ```javascript onLoad() { uni.getLocation({ type: 'gcj02', success: (res) => { this.longitude = res.longitude; this.latitude = res.latitude; }, }); }, ``` 4. 在需要进行打点的位置,通过调用第三方地图插件的相关API来添加打点,例如: ```javascript addMarker() { const marker = { id: '1', latitude: 39.908823, longitude: 116.397470, title: 'Marker1', iconPath: 'path/to/icon.png', width: 20, height: 20, }; this.markers.push(marker); }, ``` 5. 最后,在页面中调用`addMarker`方法来添加打点,即可在地图上显示打点信息。 这是一个简单的示例,你可以根据自己的需求进行扩展和优化。记得根据使用的地图插件的文档来使用相应的API。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值