本文介绍了如何进行APP和小程序的安全漏洞挖掘,主要通过抓包和解包APK包来获取API和数据包,利用网络层进行漏洞挖掘。尽管此方法无法覆盖所有漏洞类型,但能帮助初学者理解并入门。对于小程序,由于获取源代码和解包困难,主要关注抓包部分。推荐使用夜神和BlueStacks等模拟器进行抓包,并指出后续分析数据包的步骤与Web安全类似,寻找API中的注入和XSS等问题。
目前小程序和APP安全这一块如何去做这个漏洞挖掘,然后漏洞挖掘的这么一个大概的思路是怎么样的,咱们接下来要讲的这个方法其实是通过抓包,包括说这个解包apk包,这一系列的方法去把它的这个 API或者说把它的数据包这个流量给获取到,然后通过这个层面就是流量层网络层来进行漏洞挖掘,因为你通过流量层和网络层进行漏洞挖掘的时候,你挖掘漏洞的方法就可以跟web安全里头的很多手法是一样的了,就可以减轻大家的难度,让大家更好的去挖掘这个安卓或者是苹果IOS系统或者小程序的这些漏洞。
但是这个肯定不是说所有的这个思路或者说所有的漏洞类型都能覆盖到,因为无论是安卓还是苹果,它无论是APP还是小程序,它自身还有很多就是除了流量层网络层之外的一些漏洞,比如说它软件自身的一些漏洞,可能会做到说远程命令执行或者说远程这个文件运行下载这一类的漏洞,通过我们现在这个思路就挖掘不到,但是我们一步一步的来,先讲这个简单的思路,让大家更好的去理解和入门这个 APP和这个小程序的漏洞挖掘。
然后关于小程序它跟APP还是有一些区别的,因为小程序它就不会那么容易的获取到它的源代码,然后也不容易去解包,包括说这个 VUE平台下的APP,如有一些APP它可能是VUE独占的一些APP,那一类的APP它的解包反编译或者源代码就也是很困难,所以咱们接下来要讲的前半部分就是说流量获取就是抓包这一部分的事情,这个无论是小程序还是说安卓苹果的APP,它大概都是相似的,但是后半段解包这一块主要是针对这个安卓的APP,而且现在大
最低0.47元/天 解锁文章
扫一扫
3363
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
