APP安全(基于Web狗的实战APP渗透测试)

Meng0f

​APP安全(基于Web狗的实战APP渗透测试)

转载于：Hacking黑白红
2022-01-25 23:49
随着APP的火热，APP安全也是一个大问题，也有很多客户需要做APP的安全测试，故本人分享些测试方法，作为资深Web狗，站在Web角度来做一个APP的安全测试。
多说无用，奔主题—
配置环境

模拟器

首先需要一台安卓机或安卓模拟器 我用的是夜神模拟器 （下载地址：https://www.yeshen.com/）
多个安卓版本，有些APP可能不兼容高版本或者低版本

​

本次实战的APP不兼容Android 5
​

​

​
于是安排了个Android 7​

​

​Burpsuite：
再掏出82年的 Burpsuite 1.6

​

配置代理
模拟器
设置-WiFi-WiFi名字-长按修改网络 设置代理为手动

代理服务器主机名为你burp客户端的IP地址 （必须互通才可以） 端口任意（不冲突就好）

​

Burpsuite

​

上硬菜

红烧菜咸鱼之文件上传


先注册了个账户“王强”

​

此处有坑
可以看到 改完后缀名为1111 上传后还是JPEG
​

​

​
完事往下一翻
​

​

​
安排上
​

​

​


漏洞点二

油炸比目鱼之万千教师信息泄露

逻辑漏洞要点 多点、多看、多测试
一般都在订单、个人信息之类的地方可以多看一看
漏洞位于’搜索’功能

​

随手打了个’1′ 测试含 1 的用户
​

​

​
点进去抓包
​

​

​
但凡是数字ID 就很香
​

​

​
事实证明是真滴香
​

​

​
信息泄露包含：姓名、手机号、用户ID、地址等信息
拿到这些信息 进一步利用
清炖小甲鱼之用户密码重置
密码重置
拿到手机号后可以尝试重置用户密码
拿 开发人员 账号为例
开始测APP时，注册和找回密码的机制 四位数验证码 比较容易爆破
安排
爆破验证码与工号ID 可以使用 Numbers方式

​

​

​

​

爆破成功​

​

​卤煮武昌鱼之写在最后
每篇文章的评论问题，都有在看，并认真回复问题。
感谢大家好这段时间一直以来的支持，Blog一直秉承免费共享来分享文章技术思路，因工作繁忙，无法定期更新，请见谅。
作者：laolisafe
原文出处：https://zhuanlan.zhihu.com/p/266665890?ivk_sa=1024320u
​