某app的安全性分析过程

最新推荐文章于 2022-12-05 20:43:02 发布
最新推荐文章于 2022-12-05 20:43:02 发布
阅读量515 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: json
原文链接:http://www.cnblogs.com/sung/p/8166354.html

交互过程如下,可以发现问题很多

http://www.ixxxx.com//api/index/app
图片验证码:
{"data":{"imgCode":"","loginName":"1371111111"},"code":"user-checkImgeCode"}

验证手机和验证码:获取到key在注册的时候进行验证,防止恶意注册
{"data":{"phoneCode":"454336","recommend":"365","loginName":"1371111111","type":1},"code":"auth-checkPhone"}
{"status":1,"msg":"效验成功","type":0,"data":{"key":"f60b29cefa24ff71cc01c1931040f016"}}


注册用户 :验证刚刚的key以保证用户手机收过验证码
{"data":{"loginPwd":"aaaaa111111","secret_key":"f60b29cefa24ff71cc01c1931040f016","parentId":"","loginName":"1371111111","recommend":"365","phoneCode":"454336"},"code":"user-register"}
{"status":1,"msg":"注册成功","type":0,"data":{"token":"5643777675a4998b1672901.68959906","chu":1,"unique":"474C8E76A4D8F613DABF06807CF6F1B7"}}


修改密码:需要图片验证码,通过token进行修改
{"data":{"newpassword1":"aaaaa11111","code":"9587","newpassword":"aaaaa11111","oldpassword":"aaaaa111111"},"code":"user-editPassword"}
{"status":1,"msg":"修改成功","type":0}

登录获取token(每次登录补不同):带deviceId: 6AF6B4DB-DF82-F8BA-2495-792465D9607C
{"data":{"verifyCode":"","loginName":"1371111111","loginPwd":"aaaaa11111"},"code":"user-login"}
{"status":"1","msg":"登录成功","type":0,"data":{"token":"10899269405a499e09705892.85853445","chu":1,"unique":"474C8E76A4D8F613DABF06807CF6F1B7"}}

头部
POST //api/index/app HTTP/1.1
Host: www.1371111111.com
Accept: */*
version: 3.1.0
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept-Language: zh-Hans-CN;q=1
token: 5643777675a4998b1672901.68959906
Content-Type: application/json
deviceId: 6AF6B4DB-DF82-F8BA-2495-792465D9607C
version: 3.1.0
User-Agent: AiXiang/3.1.0 (iPhone; iOS 9.3.4; Scale/3.00)
Connection: keep-alive
Content-Length: 33
device: 3

 

转载于:https://www.cnblogs.com/sung/p/8166354.html

某金融APP防护检测分析
吴秋霖的博客
08-09 1576
本文分析了某APP多种防护监测技术,包括不限于反编译防护、Frida、Root各项检测
APP 安全测试_app个人信息安全评估测试用例(1)
最新发布
2401_84731999的博客
05-15 941
用户点击提交后调用接口B,客户端传给接口B的参数为接口A返回的订单号码和金额总价,接口B的后台根据传给接口B的金额总价从用户账户中扣款,扣款成功后即根据订单号码发货。如果用户安装了第三方键盘,可能存在劫持情况,对此,我们在一些特别敏感的输入地方可以做检查,例如金融类APP登录界面的用户名密码输入框等,看是否支持第三方输入法,一般建议使用应用内的软键盘。1)在运行软件过程中,如果有来电、SMS、蓝牙等通讯或充电时,是否能暂停程序,优先处理通信,并在处理完毕后能正常恢复软件,继续其原来的功能。
软件安全与脆弱性分析-对于freenote小程序的Poc分析
Micreven的博客
02-10 2110
最近上软件安全与脆弱性分析课程,对freenote小程序(貌似是某一年的CTF题)进行了依次Poc分析。感觉很有意思,在这里对分析过程进行一个总结。1.程序功能介绍给定的程序运行界面如上图所示,大体上分为五个模块他们分别为:(1)列出已经存储的记录、(2)添加新的记录、(3)编辑指定的记录、(4)删除已经存储的记录、(5)退出程序。将note程序加载到ida中,可以得到程序的汇编代码部分,动态调试...
PP安全漏洞分析! 爱加密提供APP安全检测。
u014538750的专栏
05-13 1061
针对智能手机的恶意软件早在几年前就已经出现了,不过直到2012年,手机安全问题才忽然成为了大众谈论的焦点。作为专业的移动互联网APP安全服务提供商爱加密来说,很早就开始着手于APP安全领域,为开发者们提供安全检测、应用保护、渠道检测等专业服务,全方位的保护APP安全,防止盗版、山寨、二次打包、注入恶意代码等现象的出现。        据了解,打包党通过APP应用存在的漏洞进行破解打包,形成山
Adhrit一键分析App的安全风险
哆啦安全
02-02 497
一、radare2的安装更新 2 二、Adhrit安全分析App(命令) 3 (1)、搭建Adhrit的安全测试环境 3 (2)、Adhrit的使用方法(提取App的信息) 3 (3)、Adhrit安全分析App(1.apk) 7 (4)、Adhrit安全分析App(2.apk) 9 三、Adhrit安全分析App(Web) 16 一、radare2的安装更新 git clone https://github.com/radareorg/radare2....
App安全二三事
cpongo5
06-04 341
首先插播一条自己的广告——有些朋友可能都知道了,我最近创建了一个知识星球,在这里试了一周,发现私密圈子的效率果然比群要好很多,付费门槛过滤掉了大部分广告和没有意愿学习分享的人,希望在这里能聚集更多的热爱学习热爱分享的朋友,长按下面的二维码来加入《程序员修仙指南》 WechatIMG503.png App安全二三事 客户端防作弊,是一个很重要,但...
APP安全梳理
深耕安全技术研究
06-11 323
链接: APP安全.
某金融APP产品分析 #202002.zip
05-24
此报告可能详细剖析了该APP的界面布局、操作流程和功能模块,分析其是否符合用户习惯,是否具备良好的易用性和吸引力。在UI/UX设计上,通常关注色彩搭配、图标设计、字体选择、信息层次结构等因素,这些都会影响用户...
车主 APP 体验优化分析报告
03-17
5. 安全性与隐私保护:加强APP的数据安全和隐私保护措施,确保用户个人信息和车辆数据的安全。比如采用端到端加密、多因素认证、安全审计等手段。 此外,报告中还提到了一些用于衡量APP体验的具体指标,如“满意度...
APP需求规格说明书.docx
09-16
《某APP需求规格说明书》是软件开发过程中必不可少的文档,主要由四川长虹佳华信息产品有限责任公司(甲方)与北京菲娜丽斯信息技术有限公司(乙方)共同参与编写,旨在明确软件开发的需求,确保产品的功能符合预期...
STPA安全性分析方法
xiaokang1233456的博客
01-16 3334
##STPA安全性分析 目前借助机载系统实现的飞机安全关键功能(如飞行控制、机舱环境控制、通信、导航等)呈不断增加趋势,确保机载系统的安全性,即控制系统失效导致飞机丧失安全关键功能所带来的危险至关重要。根据适航要求,目前衡量机载系统安全性的主要途径是对其开展安全性分析,此项工作是现代飞机研制和适航审定的重点。 STMAP(System-Theoretic Accident Model and Pr...
APP安全防护常见问题分析
imtik的博客
10-10 3313
常见的 App 安全问题 据2017年上半年移动安全报告显示,近五年安卓端病毒数量呈直线上升趋势。到2016年,这一数字已大幅上升至1743万,预计2017全年病毒量将接近2000万。亚洲仍然是病毒重灾区,而中国2017年上半年以约242万的病毒数量位列全球第一,我们所面临的漏洞是非常严峻的。 常见安全问题分析 上图可看出Android研发要点约450个,包含组建安全、配
APP安全性测试总结-移动APP安全测试
12-05 2529
安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是java汇编代码。dex2jar主要是用来把之前zip解压出来的classed.dex转成jar包的jd-gui主要是用来打开Jar包的APP源代码对于一个公司是非常重要的信息资源,对APP的保护也尤为重要,APP的反编译会造成源代码被恶意者读取,以及APP的逻辑设计,我们一般想要
Android App安全威胁分析及最佳实践
balance的博客
05-09 1330
导航前言常见安全威胁攻击面分类一、导出组件最佳实践二、文件读写最佳实践三、logcat日志最佳实践四、与其他APP交互最佳实践五、网络交互最佳实践六、UGC内容最佳实践七、服务端API最佳实践八、运行环境最佳实践安全技术参考 前言 我们的生活已经离不开App,且App承载了我们的金钱、私人信息、家庭视频监控、电子门锁、智能车钥匙等太多东西。 作为App的运营者必须将App安全性放在重要位置,否则因为安全漏洞导致用户信息泄露,不仅会造成用户流失、品牌受损,还会面临监管部门的巨额处罚。 App安全的重要性不言而
[免费专栏] Android安全之APK应用程序分析「附带Smali基础语法解析」
橙留香Park的博客
08-08 1200
转移发布平台通知:将不再在优快云博客发布新文章,敬请移步知识星球... ...
app接口安全性设计浅析
cafebar123的专栏
06-24 3216
之前面试的时候被问到这个,app接口安全性,这个因不同的场景,要考虑的情况也不一样。下面把自己的见闻和思考写一下吧。(1)签名与加密 这个一般接口中会有的,典型的有MD5和AES。 一个接口形式是: http://test.com/api/test.html?userId=9&timestamp=14324344&randomString=532sgdfg&sgin=GGERH5363463s
APK的安全性(一)--如何攻击
NoClay's Home
09-18 2873
APK的安全性可以通过修改客户端文件篡改客户端行为。攻击者可以让客户端显示自己制作的钓鱼网站,偷取用户信息以下攻击部分摘自知乎:https://www.zhihu.com/question/41368839/answer/112182560防御部分摘自如下博文:http://blog.youkuaiyun.com/jiangwei0910410003/article/details/48415225http:/
apk安全浅谈
qq_23081779的博客
08-01 846
apk安全方案 签名 混淆 加固 核心代码从java移到ndk/c++中 接口安全处理:验签+https+核心接口加密 一、签名 如果不对app进行签名,其他人员会利用未签名的包进行再打包,加一些广告信息,从而进行非法牟利,对我们造成影响的损失。 签名过程请点击这里 二、混淆 定义:代码混淆(Obfuscated code)亦称花指令,是将计算机程序的代码,转换成一种功能上等价,但是难于阅读...
APP安全检测 (360脱壳+算法分析+数据中转注入)
3569
05-11 5142
https://www.t00ls.net/articles-45803.html   最近对某一APP进行安全检测,整个过程花费几天时间,最耗时的就是写中转脚本实现数据的自动加密解密过程,而且过程中遇到许多小问题,折腾了许久。1.        360脱壳    因为APP是被加固了,要想获取更多有价值的信息或者是想更快的对数据包的加密算法进行分析最好的办法就是查看源码关键的加密函数,所有第一步...
Create React App路由器评估分析
- 安全性:是否有已知的安全漏洞,是否提供了安全的导航机制。 5. 对于JavaScript标签的讨论 文件的标签提到了"JavaScript"。JavaScript是网页开发中不可或缺的技术之一,广泛用于客户端脚本编程,提供动态交互效果...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值