漏洞发现-APP应用之漏洞探针类型利用修复

最新推荐文章于 2024-09-12 19:00:53 发布
最新推荐文章于 2024-09-12 19:00:53 发布
阅读量527 收藏 1
点赞数 1
分类专栏: 渗透笔记2 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhscxj/article/details/122908517
版权

在这里插入图片描述

思路说明:
反编译提取 URL 或抓包获取 URL,进行 WEB 应用测试,如不存在或走其他协议的情况下,需采用网
络接口抓包进行数据获取,转至其他协议安全测试!

APP->WEB APP->其他 APP->逆向
WEB 抓包,其他协议抓包演示及说明
未逆向层面进行抓包区分各协议测试
逆向层面进行提取 APK 代码层面数据
https://www.cnblogs.com/L0ading/p/12388928.html

案例演示:

抓包工具 WEB 协议面使用说明
抓包工具非 WEB 协议面使用说明
安卓逆向便捷 APK 一键提取 URL 演示
利用 Burp 筛选及联动功能打出军体拳
模拟器四个违法案例 APP 安全分析测试

抓包工具WEB协议面使用说明(演示)

在这里插入图片描述

在这里插入图片描述burp代理填本机的ip,端口与ip和手机模拟器上对应
burp优点:模拟器上app进行操作的所有操作的数据包都会发送到HTTPhistory中,并且可以通过关键字对数据包进行筛选查找
在这里插入图片描述在模拟器中打开app,一顿瞎点,数据包全都记录到了HTTPhistory中
在这里插入图片描述

茶杯Charles抓包工具(演示)

修改设置代理端口
在这里插入图片描述
勾选windows代理在这里插入图片描述设置完后打开模拟器中的app,Charles就会对数据包url进行抓取记录
在这里插入图片描述

抓包精灵

在这里插入图片描述https://gitee.com/darkerg/article-images/raw/master/typora/20210512131426.png

Wireshark抓包

其他的抓包软件可能只会抓HTTP协议,可以用Wireshark捕获网络接口。各种协议都有了。
在这里插入图片描述

安卓逆向便捷APK一键提取URL

漏一个大洞
在这里插入图片描述

利用Burp筛选及联动功能打出军体拳

联动Xray或awvs
xray开启端口监听,监听127.0.0.1:6666上的数据
在这里插入图片描述开启burp代理(抓取哪的数据包)
在这里插入图片描述
将所有通过burp的数据全都转发到127.0.0.1:6666上
在这里插入图片描述给模拟器设置代理,让它的数据都经过burp进行传输。(此处代理地址和burp的一样)
在这里插入图片描述对app进行操作,相应的数据包会实时转发到xray上
在这里插入图片描述流程:
模拟器设置与burp一样的代理,通过模拟器访问app时,访问的数据包就会经过burp。burp通过数据转发将数据包转发到对应的端口上,然后通过xary去监听这个端口。数据包就会在xary进行实时显示。

深白色耳机
关注
专栏目录
web安全渗透测试工具篇(一):快速发现漏洞漏洞综合扫描和联动
HACKONE的博客
05-24 381
Burpsuite,Awvs,Xray,Goby,Afrog,Yakit,Nuclei,Vulmap,Pocassist,Nessus,Pentestkit,Kunyu,Pocsuite3,浏览器各类插件,Burpsuite插件(HaE,ShiroScan,FastJsonScan,Log4j2Scan,Springscan,JScan等)。Acunetix一款商业的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。
WEB漏洞——文件上传
qq_63594215的博客
04-09 1396
MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类,当该扩展名文件被访问的时候,浏览器会自动使用知道应用程序来打开。多用于知道一些客户端自定义的文件名,以及一些媒体文件打开方式。网站允许上传任意文件,然后检查上传文件是否包含Webshell,如果包含删除文件。网站允许上传任意文件,但是如果不是指定类型,那么使用unlink删除文件。
简单三步教会你在前端监控平台:安装小程序、uni-app探针(详细教程)
webfunny2020的博客
08-15 1095
Webfunny现在支持微信小程序、uni-app的监控探针了,两个平台安装探针的方式很相似。 一、微信小程序探针安装 (1)首先创建一个微信小程序项目 (2)项目生成后,复制探针代码。在小程序项目的 utils 目录下创建一个js文件,命名为:webmonitor.mp.min.js,并将探针代码复制到这个文件中保存。 (3)在小程序项目中找到app.js文件,通过以下方式初始化webfunny的监控代码。 require("./utils/webmonitor.mp.min") /*
44:漏洞发现-APP应用漏洞探针类型利用修复
mingyqf的博客
05-01 812
参考:(https://www.cnblogs.com/zhengna/p/15122949.html) https://blog.csdn.net/MCTSOG/article/details/124008409 请勿非法测试,仅仅作为笔记,侵删 [44:漏洞发现-APP应用漏洞探针类型利用修复] 思维导图 思路说明: 反编译提取 URL 或抓包获取 URL,进行 WEB 应用测试,如不存在或走其他协议的情况下,需采用网络接口抓包进行数据获取,转至其他协议安全测试! APP->WEB APP-&
网络安全 day6 --- 抓包技术&HTTPS协议&小程序&PC应用&WEB&转发联动
最新发布
2302_81156108的博客
09-12 1196
学习网络安全的一些心得希望对大家起到一定帮助!
漏洞发现-APP 应用漏洞探针类型利用修复
硫酸超的博客
09-20 526
漏洞发现-APP 应用漏洞探针类型利用修复思路说明案例演示:抓包工具 WEB 协议面使用说明抓包工具非 WEB 协议面使用说明安卓逆向便捷 APK 一键提取 URL 演示 思路说明 反编译提取 URL 或抓包获取 URL,进行 WEB 应用测试,如不存在或走其他协议的情况下,需采用网络接口抓包进行数据获取,转至其他协议安全测试 #APP->WEB APP->其他 APP->逆向 #WEB 抓包,其他协议抓包演示及说明 #未逆向层面进行抓包区分各协议测试 #逆向层面进行提取 APK 代码
第44天-漏洞发现-APP应用漏洞探针类型利用修复
MCTSOG的博客
04-07 361
思维导图 思路说明: 反编译提取 URL 或抓包获取 URL,进行 WEB 应用测试,如不存在或走其他协议的情况下,需采用网络接口抓包进行数据获取,转至其他协议安全测试! APP->WEB APP->其他 APP->逆向 WEB 抓包,其他协议抓包演示及说明 未逆向层面进行抓包区分各协议测试 逆向层面进行提取 APK 代码层面数据 https://www.cnblogs.com/L0ading/p/12388928.html 案例演示: 抓包工具 WEB 协议面使用说明 Burpsui
漏洞发现-WEB 应用漏洞探针类型利用修复
硫酸超的博客
09-19 423
漏洞发现-WEB 应用漏洞探针类型利用修复 已知 CMS 如常见的 dedecms.discuz,wordpress 等源码结构,这种一般采用非框架类开发,但也有少部分采用的 是框架类开发,针对此类源码程序的安全检测,我们要利用公开的漏洞进行测试,如不存在可采用 白盒代码审计自行挖掘。 开发框架 如常见的 thinkphp,spring,flask 等开发的源码程序,这种源码程序正常的安全测试思路:先获取对 应的开发框架信息(名字,版本),通过公开的框架类安全问题进行测试,如不存在可采用白盒代码审 计自行
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 2087
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
渗透测试 ( 3 ) --- Metasploit Framework ( MSF )
墨鱼菜鸡
07-11 4560
白嫖 Metasploit Pro 2022:https://zhuanlan.zhihu.com/p/449836479 白嫖 Metasploit Pro 2022:http://t.zoukankan.com/hxlinux-p-15787814.html 好东西之 metasploit pro:https://www.52pojie.cn/thr...
Kubernates(k8s)工作负载之Pods
纸上得来终觉浅,绝知此事要躬行
04-29 1779
文档地址:https://kubernetes.io/zh/docs/concepts/workloads/ 工作负载 工作负载是在 Kubernetes 上运行的应用程序。 无论你的负载是单一组件还是由多个一同工作的组件构成,在 Kubernetes 中你 可以在一组Pods中运行它。 在 Kubernetes 中,Pod 代表的是集群上处于运行状态的一组容器。 Kubernetes Pods 有确定的生命周期。 例如,当某 Pod 在你的集群中运行时,Pod 运行所在的节点出现致命错...
android 探针工具,探针app下载-探针营 安卓版v1.0.0-PC6安卓网
weixin_42518090的博客
05-25 403
探针app是一款好用的球鞋资讯软件,探针app专注潮流好鞋,拥有潮鞋发售时间预警功能,还有潮鞋清单、潮流资讯,用户在探针app上可以更好进行潮鞋抢购。软件介绍探针营让你随时掌握最新的球鞋发售信息和资讯、突袭探针球鞋监控更是让无数爱好者原价入手,心爱球鞋、潮流物品发售清单让你一览最新的潮流发售动向!探针营大家庭以和为贵,让你更愉悦地和各位球鞋大神无缝交流全球热门球鞋抢购发售情报和经验。软件特色...
JNI-软探针项目
TSZ0000的博客
10-19 819
1、Android代码      .java -javac-> .class -javah-> .h ,现没有.h文件,是直接starcor-needle-lib.cpp这个文件 2、中间件代码实现JNI接口 JNIEXPORT jstring JNICALL Java_com_starcor_data_needle_crawler_crawl_NeedleJNI_getSys...
charles抓包(别名:茶壶)
Fern的博客
04-22 5210
一、Charles简介 Charles 是PC端的一款网络抓包工具,在做移动开发时,我们为了调试与服务器端的网络通讯协议,常常需要截取网络封包来分析。Charles 通过将自己设置成系统的网络访问代理服务器,使得所有的网络访问请求都通过它来完成,从而实现了网络封包的截取和分析。 Charles官网下载 Charles 主要功能: 1、抓取 Http 和 Https 网络封包。 2、支持模拟弱网环境。 3、支持mock数据。 4、支持Breakpoints修改网络请求参数。 5、配合SwitchHosts切换
安全学习DAY06_抓包技术-HTTP&HTTPS
学废了的阿串的博客
07-22 724
安全学习DAY06_抓包技术,HTTP和HTTPS协议数据包抓取,抓包工具介绍,burpsuite,fiddler,charles,对小程序,Web浏览器,PC应用APP进行抓包
网络抓包探针在K8S中的技术问题-DaemonSet
qq_37945696的博客
03-19 874
1. 探针性质介绍 探针类似于开源的网络嗅探器(类似项目github很多) 探针为了防止丢包,需要安装许多内核模块才能使用,比如网络相关的模块pf_ring等 探针需要运行在K8S集群的每一个节点,采集网卡相关数据 2. DaemonSet简单介绍 一个DaemonSet对象能确保其创建的Pod在集群中的每一台(或指定)Node上都运行一个副本。如果集群中动态加入了新的Node,DaemonS...
charles(茶壶)抓包 for mac(app电脑端调试接口解决办法)
weixin_52766240的博客
09-06 1039
Charles是一个HTTP代理服务器,HTTP监视器,反转代理服务器,当浏览器连接Charles的代理访问互联网时,Charles可以监控浏览器发送和接收的所有数据。它允许一个开发者查看所有连接互联网的HTTP通信,这些包括request, response和HTTP headers (包含cookies与caching信息)。主要功能支持SSL代理。可以截取分析SSL的请求。支持流量控制。可以模拟慢速网络以及等待时间(latency)较长的请求。支持AJAX调试。
02-app漏洞发现
qq_56414082的博客
04-13 676
apk反编译提取URL或抓包获取url,进行web应用测试,如不存在或走其他协议的情况下,需采用网络接口抓包进行数据获取,转至其他协议安全测试!apk测试主要分为三个方向:apk->WEB;apk->其他;apk->逆向。
006-基础入门-抓包技术&HTTPS协议&APP&小程序&PC应用&WEB&转发联动
wushangyu32335的博客
01-14 1261
小迪安全2023笔记
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值