先看看要測試的APP,它的服務架構是否滿足
RESTful
或非 SOAP Web Service,
或者不需要安全包絡的 SOAP 服務
咨詢技術后,發現我們的APP確實不支持,故設置代理后,不能錄制。
下圖是代理設置后,抓取的其他APP的信息,但自家的APP抓取不到:
參照:https://www.ibm.com/support/knowledgecenter/zh/SSPH29_9.0.2/com.ibm.help.common.infocenter.aps/c_NonSOAP.html
===================
APPscan設置代理,錄制APP的頁面,操作步驟,可參照:https://blog.csdn.net/yuleng/article/details/80105355
手機或模擬器 安裝APPscan SSL證書,參照:https://www.ibm.com/support/knowledgecenter/zh/SSPH29_9.0.2/com.ibm.help.common.infocenter.aps/c_ScanConfigurationWizard002.html
(我選擇的這種方式:在電腦上安裝AppScan SSL,同時導出證書,將證書放到手機上,並安裝在手機上,通過手機瀏覽器訪問http://appscan的方式 訪問不了)
安卓模擬器 設置代理,參照:https://blog.csdn.net/wudinaniya/article/details/78841564
====================
問題:
①APP的安全測試,應該怎么測試,依賴工具? 熟悉APP安全測試的方法? fighting!
②APPscan的GSC是否適用??
解答:可以用appscan類似工具的掃描app的接口地址,目標是掃描接口安全漏洞,在實踐后是可行的(接口請求也是HTTP request)