小迪安全 Web安全 基础入门 - 第十天 - 信息打点-APP&小程序篇&抓包封包&XP框架&反编译&资产提取
2021/12/20 22:49:30
本文主要是介绍小迪安全 Web安全 基础入门 - 第十天 - 信息打点-APP&小程序篇&抓包封包&XP框架&反编译&资产提取,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
一、本节知识点思维导图
二、APP-外在资产收集
1、将APP安装在模拟器中,修改模拟器代理设置,使用Fiddler、Burpsuite、Charles等抓包工具抓取APP访问的http协议数据包,抓取url资源。
2、收集到web信息后,后续外在渗透测试同web。
三、APP内在资产收集
(一)APP-内在资源提取-AppInfoScanner
1、使用AppInfoScanner提取APP的资源,进行反编译和提取资源,若APP加壳,则需先进行脱壳,使用ApkScan可以查加壳的类型。
(1)Android系统下脱壳
使用xposed模块中的dexdump插件反编译和提取资源;
使用frida模块中的FRIDA-DEXDump反编译和提取资源。
(2)IOS,使用frida模块
windows系统使用frida-ipa-dump;
MacOS系统使用frida-ios-dump。
2、无壳或脱壳后使用AppInfoScanner提取APP资源
(1)cd进入AppInfoScanner目录下;
(2)python3 app.py android -i App名称,完成后在生成的result文件中会保存有提取出来的url资源。
(二)APP-内在搜索-反编译载入IDEA
1、将APP载入IDEA进行反编译,搜索代码关键词进行修改,提取ICO、MD5、HASH值。
2、反编译得到JAVA代码后,可进行代码审计寻找漏洞。
3、提取到RES资源后可配合黑暗引擎收集资产。
(三)APP-资源提取-安装包&资源文件
1、使用安卓修改大师可对APP进行反编译、资源提取、抓取封包、关键字搜索和修改,提取ICO、MD5、HASH值。
2、反编译得到JAVA后进行代码审计。
3、提取到RES资源后可配合黑暗引擎收集资产。
(四)APP-框架使用-Xposed&JustTrustMe
1、模拟器环境下使用xposed框架,利用JustTrustMe等工具进行反编译、资产提取等工作。
四、小程序-微信-电脑版登录启动抓包分析
1、在PC端微信打开小程序,使用burpsuite、fiddler等抓包工具进行抓包,提取关键资源。
2、收集到相关资产后,后续渗透测试同web测试。
这篇关于小迪安全 Web安全 基础入门 - 第十天 - 信息打点-APP&小程序篇&抓包封包&XP框架&反编译&资产提取的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-12-20微信小程序开发入门指南
- 2024-12-20小程序 createCameraContext() 怎么实现识别条形码功能?-icode9专业技术文章分享
- 2024-11-22微信小程序的接口信息py可以抓到吗?-icode9专业技术文章分享
- 2024-11-22怎样解析出微信小程序二维码带的参数?-icode9专业技术文章分享
- 2024-11-22微信小程序二维码怎样解析成链接?-icode9专业技术文章分享
- 2024-11-22微信小程序接口地址的域名需要怎么设置?-icode9专业技术文章分享
- 2024-11-22微信小程序的业务域名有什么作用-icode9专业技术文章分享
- 2024-11-22微信小程序 image有类似html5的onload吗?-icode9专业技术文章分享
- 2024-11-22微信小程序中怎么实现文本内容超出行数后显示省略号?-icode9专业技术文章分享
- 2024-11-22微信小程序怎么实现分享样式定制和图片定制功能?-icode9专业技术文章分享