44:漏洞发现-APP应用之漏洞探针类型利用修复

思维导图

思路说明:

反编译提取URL或抓包获取url,进行web应用测试,如不存在或走其他协议的情况下,需采用网络接口抓包进行数据获取,转至其他协议安全测试!

 

案例1:抓包精灵

Android抓包软件,可以安装到手机上,不需要过多设置,即可抓住手机上app产生的http/https包并自动解析,确定是只能看不能操作。

地址:https://github.com/huolizhuminh/NetWorkPacketCapture/releases/tag/1.0.4

 

案例2:ApkAnalyser

简介:一键提取安卓应用中可能存在的敏感信息。

用法:将所有app放到程序自动创建的apps目录,再运行主程序就好了,不用加参数。

功能:目前提取了APK内所有字符串、所有URLs、所有ip、可能是hash值的字符串、存在的敏感词(如oss.aliyun)、可能是accessKey的值。

地址:https://github.com/TheKingOfDuck/ApkAnalyser//releases/download/1.0/apkAnalyser.zip

 

案例3:xray与burp联动被动扫描

参考:https://www.cnblogs.com/L0ading/p/12388928.html

posted @ 2021-08-19 19:54  zhengna  阅读(206)  评论(0编辑  收藏  举报