随笔分类 -  MobileSecurity

移动应用主要安全问题
摘要:移动应用安全问题可以从四个维度去看,分别是静态代码安全、本地数据安全、网络数据安全和业务数据安全。 如下图所示: 阅读全文
posted @ 2017-04-26 19:44 北海悟空 阅读(239) 评论(0) 推荐(0) 编辑
iOS逆向工程(简单利用"dumpdecrypted"给ipa砸壳)
摘要:http://www.jianshu.com/p/a4373b5feca0 阅读全文
posted @ 2017-03-02 18:40 北海悟空 阅读(899) 评论(0) 推荐(0) 编辑
Burpsuite如何抓取使用了SSL或TLS传输的 IOS App流量
摘要:之前一篇文章介绍了Burpsuite如何抓取使用了SSL或TLS传输的Android App流量,那么IOS中APP如何抓取HTTPS流量呢, 套路基本上与android相同,唯一不同的是将证书导入ios设备的过程中有些出路,下面进行详细介绍。 以抓包工具burpsuite为例,如果要想burpsu 阅读全文
posted @ 2016-11-30 16:23 北海悟空 阅读(4181) 评论(0) 推荐(0) 编辑
Android APP安全评估工具 Drozer - 使用介绍
摘要:一、列出drozer当前可用的所有模块dz> list 获取所有安装包列表 run app.package.list 通过输入安装包的部分关键字查找包全称 run app.package.list -f 安装包部分关键字 获取特定安装包信息 run app.package.info -a 安装包名称 阅读全文
posted @ 2016-10-27 14:17 北海悟空 阅读(1065) 评论(0) 推荐(0) 编辑
(转)手机安全测试
摘要:一、通过在线工具进行测试 1.腾讯金刚审计系统service.security.tencent 优点:包含了修复建议 2.阿里聚安全检测网址: jag.alibaba 阿里聚安全下有自己的安全博客,包含一些: 1.安全漏洞、2.病毒分析、3.技术研究、4.安全报告相关文档。 3.360捉虫猎手检测结 阅读全文
posted @ 2016-10-27 10:29 北海悟空 阅读(799) 评论(0) 推荐(0) 编辑
Fiddler如何抓取使用了SSL或TLS传输的Android App流量
摘要:上篇文章介绍了Burpsuite如何抓取使用了SSL或TLS传输的Android App流量, 那么使用Fiddler的时候其实 也会出现与burpsuite同样的情况,解决方案同样是需要将Fiddler证书导入到移动设备中,下文中介绍了Fiddler的 证书导出过程,导入到移动设备的步骤请参考Bu 阅读全文
posted @ 2016-10-26 14:33 北海悟空 阅读(2360) 评论(0) 推荐(0) 编辑
Burpsuite如何抓取使用了SSL或TLS传输的Android App流量
摘要:一、问题分析 一般来说安卓的APP端测试分为两个部分,一个是对APK包层面的检测,如apk本身是否加壳、源代码本身是否有恶意内嵌广告等的测试,另一个就是通过在本地架设代理服务器来抓取app的包分析是否存在漏洞。而通常使用最广泛的工具burpsuite对于采用http协议开发的app来说是可以抓包的, 阅读全文
posted @ 2016-10-26 13:57 北海悟空 阅读(7660) 评论(0) 推荐(0) 编辑
Android APP安全评估工具 Drozer - 安装介绍
摘要:一、Drozedr安装 注意事项:安装需要 Java Runtime Environment (JRE) or Java Development Kit (JDK)环境, 没有安装的请先安装java环境。 1. 从官网选择相应版本(官网地址) windows环境选择下载Windows Install 阅读全文
posted @ 2016-10-21 16:43 北海悟空 阅读(586) 评论(0) 推荐(0) 编辑
gdb与adb相关命令总结
摘要:在使用gdb与adb时需要注意一些类似于权限的问题,比如设备需要root,设备root后命令行下需要 切换用户到root用户下操作,又比如相关的目录或文件是否有足够的权限等等,总结为如下: (以下示例所给的部分权限可能过大,因为是实验,所以命令仅供参考) 阅读全文
posted @ 2016-10-13 17:07 北海悟空 阅读(1290) 评论(0) 推荐(0) 编辑
借助adb与gdb确认app内存缓存中是否存在用户敏感数据
摘要:一、环境准备 二、测试执行 三、本地排查core.1023文件是否存在敏感信息 确认命令[adb pull /system/bin/core.1023 D:\corefile]执行后,D盘根目录是否生成了core.1023文件 使用UltraEdit查看 将core.1023文件用UltraEdit 阅读全文
posted @ 2016-10-13 16:57 北海悟空 阅读(1209) 评论(0) 推荐(0) 编辑
移动设备中导入gdb调试工具
摘要:(1)概述 接ADB调试桥安装(方式一),ADB调试桥安装好了后一般的移动设备内都不含有gdb工具, 要想使用gdb工具可以借助adb的push参数进行上传。 gdb分为gdb客户端和服务端,文件可以从点击android-gdb-6.8下载。 下载后为文件夹android-gdb-6.8,包含文件g 阅读全文
posted @ 2016-10-13 16:09 北海悟空 阅读(1209) 评论(0) 推荐(0) 编辑
ADB调试桥安装(方式二)
摘要:想使用ADB工具可以通过安装安卓SDK套件,然后通过SDK里面的adb工具连接手机进行调试, 然而这种方式安装起来多多少少还是有点麻烦,ADB调试桥安装(方式一)。 另一种方式来的就更为舒服一些了,即下载第三方刷机软件利用里面的集成小工具来使用adb。 本实验使用的是一款叫做刷机精灵的软件。下载与安 阅读全文
posted @ 2016-09-23 09:42 北海悟空 阅读(321) 评论(0) 推荐(0) 编辑
ADB常用命令
摘要:ADB是一个 客户端-服务器端程序, 其中客户端是你用来操作的电脑, 服务器端就是你的android设备。 安卓设备连接pc端,设置模式为USB调试模式,连接成功后cmd下打开adb.exe进行客户端-服务器端的 相关调试。ADB的官方文档的说明信息如下所示: 其中ADB常用命令已经在网上有人总结过 阅读全文
posted @ 2016-09-22 16:29 北海悟空 阅读(3795) 评论(0) 推荐(0) 编辑
ADB调试桥安装(方式一)
摘要:一、ADB简介 adb的全称为Android Debug Bridge,起到调试桥的作用。它android sdk里的一个工具, 用这个工具可以直接操作管理 android模拟器或者真实的android设备(如G1手机). 它的主要功能有: 此外,ADB是一个 客户端-服务器端 程序, 其中客户端是 阅读全文
posted @ 2016-09-22 13:45 北海悟空 阅读(2333) 评论(0) 推荐(0) 编辑
Drozer安装
摘要:(1)JDK安装 http://www.cnblogs.com/linbc/p/4319509.html http://blog.csdn.net/qq_31988895/article/details/50110859 (2)Android SDK 安装 https://developer.and 阅读全文
posted @ 2016-09-14 16:31 北海悟空 阅读(169) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示