前陣子有學員在嘗試使用appscan對公司app做被動式掃描時出現一些問題,發現無法即使導入了appscan的證書也無法抓到https的包。推薦他使用burpsuite后,成功抓到了https的包並且也完成了他的掃描工作。
首先帶大家了解什么叫被動掃描。被動掃描和主動掃描是一對,平時你輸入一個url讓工具進行爬取或掃描的這種掃描方式,叫做主動掃描,所有待掃描的鏈接全是工具主動爬取所得,那么自然主動掃描的結果其實有一部分取決於工具爬取的能力;與主動掃描不同的是,被動掃描的必要條件是一個代理,可供使用者將客戶端的所有流量代理到工具上,被動掃描的結果取決於使用者在使用客戶端時產生的流量,也就是發起過的請求,而不取決於工具主動爬取的能力。市面上商用的主動掃描的工具不少,商用的被動掃描器並沒有多少,最出名就是burpsuite和appscan。
了解完被動掃描之后,其實只需要做好一點就行,那就是把所有的流量代理到burpsuite即可,那么下一個問題是,如何能夠讓app所有流量代理過去。
首先,允許設備所在網絡能夠把流量代理到burpsuite上,那么就要先配置好burpsuite的監聽地址。如果情況特殊,無法找到局域網ip,那可以選擇all interfaces也可以(主要原因可能是在burpsuite啟動后才分配到網卡ip,所以導致代碼讀取不到ip,不過完全不影響操作)。
配置好burpsuite后,把攔截器關閉,觀察HTTP History。
接下來說下android上如何設置,盡量使用root過的真機或是模擬器來進行安全測試。第一步當然是保證網絡通暢,將無線網絡代理設置成burpsuite監聽的地址(我這里是192.168.1.3:8080),
並通過瀏覽器訪問到頁面(http://ip:port或者http://burp,后者能生效的原因是因為代理過程中可以劫持所有的dns所以官方綁定了這么一個域名)點擊右上角下載證書,修改文件后綴成cer,設置中一些安全選項或其他選項中進行安裝證書,接下來就可以抓爆了。
接下來再介紹下如何抓到iOS的包。這里以手頭上在用的iOS13.3為例。和Android一樣,需要和burpsuite監聽地址在同一個局域網內,並且保證網絡通暢,設置wifi的代理為burpsuite的監聽地址。使用safari打開burpsuite的頁面下載證書並點擊安裝,
點擊允許后,回到設置最上面可以看到描述文件,一路點擊安裝確認即可:
證書在設置-通用-描述文件與設備管理中可以查看,點擊進去選擇完全信任。接下來就可以試下訪問百度,再看burpsuite抓到的是否有iphoneUA的https百度包:
到這就成功的在burpsuite上抓到了設備上所有app的大部分的包,這里不談論app雙向加密,因為會涉及到一部分逆向和脫殼。
這之后,被動掃描的結果就可以看到了。所有可以掃描的漏洞類型都在scanner-issue definition可以看到,不過還是友情提示下,掃描器並不能解決所有問題,世界上暫時沒有一款掃描器能夠掃描出業務邏輯漏洞,所以盡量還是手動抓包進行滲透測試。