Android安全测试之BurpSuite抓包

最新推荐文章于 2025-02-20 15:28:59 发布
最新推荐文章于 2025-02-20 15:28:59 发布
阅读量4.3k 收藏 5
点赞数 1
分类专栏: 网络编程 Android逆向 计算机网络 文章标签: android 测试 burp 代理

原文:
https://my.oschina.net/cve2015/blog/545832

安卓APP测试,少量工作在Android组件等端侧,大部分还是集中在网络通信上。因此测试过程中,网络抓包很重要,一般来说APP会采用HTTP协议,Websocket,Socket协议。其中HTTP协议的最多,Websocket是后起之秀,Socket最少。针对HTTP和Websocket,Burp Suite是进行抓包的不二之选 。

如何抓HTTPS数据包?

我们测试重置密码,找回密码等功能,很多时候通信使用HTTPS加密的,如下设置可进行HTTPS抓包:

a)导出Burp Suite根证书

浏览器设置好代理后,访问http://burp/
下载一下burp suite证书,这里是der格式的,我们要cer的,使用火狐浏览器转,导入并导出下就可以了。
b)在手机中添加信任证书

将导出的证书PortSwiggerCA.crt上传到手机,安装之。

若之前本身就用代理上网的,要在原来的代理之上再加Burp的代理,需这样设置:

    1.Burp中Options->Upstream Proxy Servers,配置原Proxy(你原来上网的)。

    2.Proxy->Options->Proxy Listeners配置代理,127.0.0.1:8080(burp作为代理服务器)

    3.IE里修改代理为127.0.0.1:8080

    数据路径为:IE(Browser)->Burp Suite->原Proxy->web服务器

即这里的设置『上游代理服务器』。原来还可以socks代理
这里写图片描述

牛逼抓包工具 Socket通讯抓包
02-25
很好用的抓包工具 实现Socket客户端,服务端,转发器调用测试 很实用 Socket开发的最佳工具
Android抓包从未如此简单
Chenhui98的博客
08-25 1148
情景再现有一天你正在王者团战里杀的热火朝天,忽然公司测试人员打你电话问为什么某个功能数据展示不出来了,昨天还好好的纳,是不是你又偷偷写bug了。。。WTF!,你会说:把你手机给我,我连上电脑看看打印的请求日志是不是接口有问题。然后吭哧吭哧搞半天看到接口数据返回的格式确实不对,然后去群里丢了几句服务端人员看一下这个接口,数据有问题。然后又回去打游戏,可惜游戏早已结束,以失败告终,自己还被无情的举报禁赛了。。。人生最痛苦的事莫过于此。
BurpSuite使用:小白的我也会网页和APP抓包了!黑客技术零基础入门到精通教程!
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
02-20 629
Proxy(代理)是BurpSuite核心功能组件之一。它位于客户端和服务器之间,就像一个中间人,拦截并转发 HTTP/HTTPS 请求和响应,使得安全测试人员能够对这些通信进行检查、修改和重放等操作。我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
burpsuite取一个包
yuysjx的博客
11-19 372
burp抓包
Android 使用Wiresharksocket http包
Android_Mr_Zhao的博客
11-03 2221
**第一步:**下载wireshark 傻瓜式安装。到提示下载一个插件时候记得下载 **第二步:**电脑开热点 手机(IOS Android都可以)连接。 **第三步:**打开wireshark,(耗时需要等一会)页面选择下图 **第四步:**进去之后就可以看到所连接设备所有端口ip地址。**重点来了:**过滤无用链接地址(不然太难找想要的) //tcp. port == 80(端口号) and ip. addr==39. 97. 224. 191(地址) and ip. src == 39. 97.
安卓9系统Charles配置socket方式抓包https与SSL证书移动
zxc979647835的专栏
10-01 6785
开箱即食教程,适用于高低版本安卓手机,以socket的方式使用Charles抓包,绕过大部分防抓包检测,帮助逆向人员快速分析。
安卓APP测试之使用Burp Suite实现HTTPS抓包方法
01-04
所以在安卓APP测试过程中,网络抓包非常重要,一般来说,app开发会采用HTTP协议、Websocketsocket协议,一般来说,HTTP协议最多,Websocket是后起之秀,socket最少,而针对HTTP和websocketBurp Suite工具是最...
Burp_Suite_Pro_v1.7.37_Loader_Keygen.zip
02-25
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、...
java APP抓包工具
08-23
6. **Burp Suite**:专为Web应用安全测试设计,Burp Suite同样可以用于HTTP/HTTPS的抓包和分析。它包含了丰富的功能,如拦截、篡改请求,还有自动化扫描工具,是Java和Android开发者进行安全审计的得力助手。 在...
软件测试资源:常见的测试工具,包含详细介绍
04-02
fiddler和burpsuite是网络抓包工具,常用于安全测试中。skipfish是一款轻量级的安全测试工具,它的处理速度非常快。 总结来说,软件测试工具能够帮助测试人员以更高效、更准确的方式进行测试工作,从而确保软件产品...
物联网安全之MQTT渗透实战 .pdf
09-05
攻击者可以通过浏览器的开发者工具或抓包工具(如Burp Suite)来检测MQTT的使用,查找连接信息,包括主机、端口、用户名和密码。 获取MQTT认证信息的方法包括: 1. **直接捕获Web应用中的信息**:使用Chrome开发者...
Android设备上非root的抓包实现方法(Tcpdump方法)
09-01
通常我们在Android应用中执行某个命令时会使用“Runtime.getRuntime().exec("命令路径")”这种方式,但是当我们执行抓包操作时,使用这条命令无论如何都不行,通过下面代码打印结果发现,该命令一定要在root权限下才能执行,具体实现思路,请参考本教程
burpsuite安全练兵场-客户端16】测试WebSockets安全漏洞-3个实验(全)
热门推荐
01-17 1万+
【BP靶场portswigger-客户端16测试WebSockets安全漏洞】3个实验-万文详细步骤
burp靶场--WebSockets安全漏洞
qq_33168924的博客
01-24 2007
Burp代理的HTTP历史记录选项卡中,找到WebSocket握手请求。观察请求是否没有CSRF令牌。凭据:carlos: fj83hbdbohtky68riu8b。右键单击握手请求并选择"复制URL"
Android抓包思想总结
一只特立独行的猪
02-17 3648
Android中的网络请求一般有三种类型:HTTP、HTTPS、Socket。 Http和Https都是基于socket封装的上层框架,一般都是使用他们,但也不排除一些对安全要求比较高的应用使用Socket自己封装网络请求,这种就比较麻烦,关键是到了数据也不好分析,我们主要分析一下Http和Https。
关于burpsuite设置HTTP或者SOCKS代理
Welcome To Myon'Blog !
01-05 5386
1、对等端的证书有一个无效的签、连接不安全、不受信任等,这个是证书问题,访问http:\burp下载证书,在浏览器设置里重新导入证书基本上能解决。如果你是使用burpsuite抓包,那么就是切换到burpsuite的即可,系统代理应该就不影响了。2、如果连接无法加载,也不到包,检查下你使用的代理切换插件的相关配置,端口号设置是否正确一致。如果你是不用burpsuite抓包,那么你就需要打开,浏览器切换到系统代理才能使用。关于新增的这一层代理,可以是HTTP代理,也可以是SOCKS代理
Burpsuite抓包http,https
Z_l123的博客
01-12 1139
1.打开Burpsuite工具 2.设置代理 3.打开火狐>设置 常规>网络设置>设置 4.开始抓包(http) 5.访问www.zhiyin.cn 6.访问www.baidu.com(https) 1.下载证书,访问127.0.0.1:9999,点击下载 2.导入证书 在 证书颁发机构 中导入刚才下载的证书,信任设置选择标识网站 3.访问www.baidu.com ...
Burpsuit PC 端和 Android 端常见基础抓包方式
YouTheFreedom的博客
05-20 4021
注:下面两个选项分别为 HTTP 代理和 HTTPS 代理,都要填写 Wb Proxy Server 代理地址,也就是下游的 Burp 代理地址。burp 证书是 der 格式的,先转为 pem 格式,在计算出哈希值,将 pem 证书重命名为哈希值,后缀为 .0。把保存后的证书导入到浏览器中,唯一需要注意的是,在『证书存储』这一步选择将证书存储在『受信任的根证书颁发机构』注:规则是并行的,如果不需要多个规则并行,就只能配置一个,然后切换不同的代理服务器即可。打开 VPN,左上角出现小钥匙,说明流量代理中。
burp suite抓包
12-30
### 使用 Burp Suite 进行网络数据包捕获 #### 配置 Burp Suite 的代理设置 为了准备使用 Burp Suite 抓包,需确保其抓包功能已开启。进入 `Proxy` -> `Options` 界面增添计算机 IP 地址和端口号[^2]。 对于 DVWA 初级靶场测试环境而言,HTTP 代理地址应设为 `127.0.0.1`,而端口则设定为 `8080`[^1]。 #### 安装 CA 证书至目标设备 为了让浏览器信任来自 Burp Suite 的 SSL/TLS 加密连接,必须导出并安装由该软件签发的中间人(MITM)CA 证书: - **Web 浏览器**:通过访问 http://burp 收集 `.cer` 文件,并按照提示将其作为受信根认证机构导入操作系统或特定应用内。 - **移动装置 (Android)**:利用 ADB 工具推送经 OpenSSL 转换成 PEM 格式的证书文件到 `/sdcard/Download` 目录下;接着前往「设置」-> 「安全」-> 「加密与凭证」-> 「从储存空间安装」完成加载过程[^4]。 #### 开启拦截模式 Intercept 功能 当计划分析具体请求细节时,可暂时关闭截留开关以便顺利浏览网页资源。一旦定位到感兴趣的链接,则重新激活此特性来细致审查交互流程[^3]。 #### 设置客户端代理配置 依据不同场景需求调整终端侧参数以实现有效监听: - **桌面平台上的 Web 应用** - 创建新的情境模式(SwitchyOmega 插件),指定 HTTP(S) 通道指向本地运行中的 Burp 实例。 - **移动端 App 或者其他不具备内置代理选项的服务** - 修改 Wi-Fi 接入点属性里的网关字段匹配宿主机公网出口; - 对于缺乏显式代理入口的应用程序来说,借助 Proxifier 类第三方中介层间接达成目的——即关联待监测进程同自定义规则下的远程转发节点。 ```bash openssl x509 -inform DER -in burpsuite.der -out burpsuite.pem adb push burpsuite.pem /sdcard/Download/ ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值