一、APP滲透測試原理
APP滲透測試和Web滲透測試基本沒有區別。APP(應用程序,Application),一般指手機軟件。一個網站存在SQL注入,用PC端瀏覽器去訪問存在SQL注入漏洞,用手機瀏覽器去訪問一樣也存在SQL注入漏洞。
APP大部分漏洞的存在並不是在客戶端而是在
服務端。
例如:SQL注入、XSS、驗證碼繞過、越權漏洞、支付漏洞、CSRF、變量覆蓋、反序列化、文件包含、SSRF、XXE、文件上傳等等。只要Web有的漏洞,APP可能就有。
滲透測試網站,其實核心是控制傳參訪問,如果說我們不對他進行訪問和傳參,那么他有可能被你滲透攻擊下來嗎?那么滲透測試的核心其實就是把控傳參。其實和APP交互的還是服務器,用的還是HTTP協議,交互的服務器還是同一個,網站和APP和同一個服務器交互都是很正常的事情。
一般都是用api通信,例如:
http://xxx/api.xxxxx.com/Api/xxx
正常網站的交互: 瀏覽器——>網站
APP的交互: APP——>網站
所以說可以抓Web網站的數據包,照樣可以抓APP的數據包。
參考案例:https://www.uedbox.com/?s=wooyun+app
邏輯漏洞:https://www.uedbox.com/post/10278/ (空姐對話)
假裝打碼:https://www.uedbox.com/post/10714/
越權漏洞:https://www.uedbox.com/post/10172/ (奧運冠軍)
任意密碼找回:https://www.uedbox.com/post/9621/
SQL注入:https://www.uedbox.com/post/11214/
XSS:https://www.uedbox.com/post/10169/
二、安裝安卓模擬器 + 抓包
1. 安裝模擬器
這邊使用的是最新版的
夜神模擬器,官網可以直接下載,最新版的雷神4模擬器是抓不了包的(已測試過),其余的可以嘗試下,建議使用夜神模擬器。
夜神模擬器下載地址:https://www.yeshen.com/
2. 設置代理安裝證書
這邊使用的是
Burp suite來抓取數據包。當然也可以嘗試其他的抓包工具,比如
Wireshark等。
抓包前,首先得安裝證書,使用
FoxyProxy,Burp suite設置好代理,一般我們訪問的都是http協議,如果遇到https協議的話是需要安裝證書才可以抓包的。
瀏覽器訪問:127.0.0.1:8080,點擊CA Certificate,下載證書,保存文件
進入選項——>搜索證書——>查看證書——>導入證書,然后PC端的瀏覽器就可以使用Burp suite抓https協議網站的數據包了。
接下來需要把證書復制到夜神模擬器中,直接把剛剛下載好的證書拖進模擬器中
重命名為123.cer,到設置——>安全——>從SD卡安裝——>123.cer——>設置一個密碼——>為證書命名——>確定——>證書就安裝好了
接下來到
Burp suite設置代理
夜神模擬器設置代理,到設置——>WLAN——>長按WiredSSID——>修改網絡
3. 抓包
隨便打開一個應用,使用
Burp suite抓取數據包
成功抓取數據包。