App渗透中常见的加密与解密

最新推荐文章于 2025-07-17 13:59:25 发布
原创 最新推荐文章于 2025-07-17 13:59:25 发布 · 2.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络技术

本文探讨了App在数据传输中常见的加密方法,包括对称性加密(如DES、AES)、非对称性加密(如RSA)以及自定义算法加密。针对不同加密方式的特点和优缺点进行了分析,并分享了常规的解密手段,如判断加密方式、定位密钥/算法代码、调试和获取密钥。最后提出了加强App加密安全性的防御措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

App渗透中常见的加密与解密

2018年10月17日 移动安全 54632 views
前言:本文主要介绍了目前App数据传输过程中几种常见的加密方式,以及一些常规的解密手段,并不涵盖并应对所有情况,在实战过程中还须具体情况具体分析,随机应变;同时,也十分欢迎与希望各路大神提出宝贵建议和思路,一起学习和研究。(注:全文中所提到的App仅针对Android App)

在这里插入图片描述

随着App移动应用的广泛应用及移动开发技术的飞速发展,移动应用的安全也越来越被重视;在App服务端渗透中,我们在抓包时经常会发现App在数据传输过程中做了加密(如图1),以防止数据被查看或被篡改;而渗透过程中的很多时候我们都需要抓包修改,这就要求我们需要先对App数据包进行解密了。

一、一些常见的加密方式
在这里插入图片描述

对于App传输数据加密,一般会考虑三个方面

1) 可用性:客户端和服务端都可逆向破解

2) 较高的安全性:不容易被破解

3) 效率性:加密性能及资源占用方面不是很高

针对以上三个方面需求,目前用得最多有以下几种加密方式(当然,有时候会掺杂一些其他的小算法,具体情况自行识别和解码即可),其特点及优缺点分别阐述如下。

1)对称性加密。如DES、AES、3DES等。这些加密方式的算法基本已公开,因此其特点为密钥/生成密钥的方法固定,因此这种加密方式的优点为性能效率较好,而且也较大的提升了解密的成本;但由于密钥固定,因此缺点也很明显了,则是在客户端和服务端上都能找到密钥或密钥的生成方法。因此其突破口为通过逆向客户端来寻找密钥。另外,这种加密方式可同时用于请求包和返回包。

2)非对称性加密。如RSA、Rab

最低0.47元/天 解锁文章

200万优质内容无限畅学
Java NIO 网络编程中的数据加密解密
Java大师兄的博客
05-19 817
本文旨在为Java开发者提供在NIO网络编程中实现数据加密解密的全面指导。我们将覆盖从基础概念到高级应用的所有关键环节,包括加密算法选择、密钥管理、NIO通道封装以及性能优化等方面。文章将从Java NIO基础回顾开始,逐步深入到加密技术的集成,最后通过完整案例展示实际应用。中间将穿插性能分析和安全最佳实践等内容。: Java提供的非阻塞I/O API,核心组件包括Channel、Buffer和Selector: 对称加密算法,速度快,适合大数据量加密: 非对称加密算法,用于密钥交换和数字签名。
一次金融APP解密历程
xnxqwzy的博客
08-28 217
客户仅提供官网下载地址给我们测试。但是由于官网的版本不是最新的,APP会强制你升级。而升级后的APP,是进行加固后的,无法使用frida进行hook,注入进程。那同样也无法使用SSLUnpinning进行限制客户端校验证书。新版app使用查壳软件显示未加壳,但是查看源代码明显少了很多代码,且很多都是变量声明而已。
Android APP解密解决方案
yizhiyu12138的博客
11-28 1383
最近搞加密APP需要将一些数据加密存储,显示的时候解密显示。对于我们这种小众app来说,自己写个加密算法,虽然没有主流的那么安全,但谁会破解这么个app啊。算了,老板说万一火起来呢,也对,那就用主流加密算法吧。 首选AES对称加密算法,AES解密的时候需要加密的密钥,为了不被反编译看到密钥,肯定不能硬编码在代码中,而且最好每次对同一个数据加密后生成的秘文是不一样的。网上基本都是算法调用,具体用...
App 爬虫逆向必知!盘点 App 逆向中常见加密算法!
静觅
07-01 3035
这是「进击的Coder」的第 652篇技术分享作者:Python 进阶者来源:Python 爬虫数据挖掘“ 阅读本文大概需要13 分钟。 ”PS:本教程只用于学习探讨,不允许任何人使用技术进行违法操作,阅读教程即表示同意为什么要学习加密算法在搞逆向进行抓包的时候,可以经常发现一些莫名其妙的字符串,可能是81dc9bdb52d04dc20036dbd8313ed055...
APP渗透测试实战全攻略:15个技巧助你斩获高额漏洞赏金
最新发布
ewii12567的博客
07-17 1055
当前,APP安全已成为攻防对抗的核心战场。据国家计算机病毒应急处理中心统计,2024年金融类APP漏洞利用事件同比增长62%,其中高危漏洞80%源于渗透测试未覆盖的隐蔽风险点。本文基于真实渗透案例,总结15个实战技巧,涵盖逆向工程、漏洞挖掘、权限绕过等核心领域,助你构建系统化的渗透测试能力。
APP逆向 day5 python常见加密还原
一起进步
06-26 1356
今天我们介绍了常见加密加密,大家只要会用就行了,遇到啥用啥,就可以啦!!!
利用沙盒技术破解APP的API协议加密
鱼塘鱼汤的专栏
10-14 7499
偶然无聊的需求 项目地址: 前段时间闲的没事,经常刷某视频App。里面有很多有才的人,偶然把他们的视频都给下载下来在电脑上面存起来慢慢看。 作为一个主要工作在客户端上的码农,第一时间想到了去抓包看一下他们的App协议。 可以看到,通过调用http://103.107.217.65/rest/n/feed/profile2这个接口就可以去获取到这个主播的视频了。然后通过分页加载即可下载所有的视频。...
一步步破解app协议第二步(审计代码)
醉猫
12-10 7417
根据上一篇文章(一步步破解app协议第一步(利用Fiddler搭建抓包环境))我们知道如何抓包,那么如何从抓取的数据包中获取有用的东西呢?请跟随我的脚步一步步走下去。 本文以前面爱流量的协议分析为例子 快速破解协议的步骤: 1,抓包获取参数名 点击登录之前可以先清除一下数据,这样数据不会太多,影响分析 2,搜索关键字 首先打开jeb或者apkide反编译
加密app渗透测试包,用于brida和frida练习hook逆向技术的安卓apk源码 尝试暴破出加密密码并进行登录即可通关 自动加解密 .zip
11-29
加密app渗透测试包,用于brida和frida练习hook逆向技术的安卓apk源码。尝试暴破出加密密码并进行登录即可通关。自动加解密。欢迎来到 zangcc 的 github 本人开发,禁止!!完整包下载后,需要修改apk源码中的...
app渗透,frida解密参数定制抓包
药药同学的博客
03-19 1805
通过抓管理员userid,然后到个人页面刷新,将自己的userid改成管理员的便越权了,可以进行改包了。通过mt对apk进行反编译发现是360加固,这是使用万能脱壳法。通过对dex代码反编译进行分析,然后使用瞎几把搜索乱下段定位法。通过函数定义的命名就能知道是将对象加密 然后返回一段json。使用小黄鸟进行抓包发现所有接口都是通过paras进行传递。通过分析发现所有接口都是先定义了hashmap。发现是调用的encryptionData。此时,便明文了,可以进行抓包了。paras参数值是被加密了的。
移动安全-APP渗透进阶之AppCan本地文件解密1
08-03
### 移动安全-APP渗透进阶之AppCan本地文件解密 #### 一、概述 随着移动应用的快速发展,应用程序的安全性变得越来越重要。在本文档中,我们将深入探讨如何对采用AppCan混合开发技术的应用进行渗透测试,并重点...
逆向技巧-快速定位App请求协议加密解密位置的方法
01-11 5818
App的逆向破解或者渗透测试过程中,经常会遇到网络请求协议加密的情况,这个时候如果不对请求协议封包进行解密,找到其加密解密方法,就无法再进行下一步的操作。
app破解工具以及教程
08-20
使用这些工具的大致两类人,一类是出于对源码的热爱,想要深入的研究,一类是出于好奇想要改变一些应用参数,如果你是其中一类,那么这些工具能够满足你,其中的工具包括:dex2jar-2.0,Binary Viewer.exe,AXMLPrinter2.jar,jd-gui-1.4.0.jar,使用教程参考压缩包内的ReadMe.txt文件
Android逆向--APP通信解密技巧
曲终人散
06-24 2378
一、市场总下载量:2266.43万 漏洞流程 1、分析报文可见正常攻击操作已经无法进行 2、请求和返回内容全部加密 请求包 userId=17060370&token=twZoW57%252FSUHalnSQGIlB8PQhe%252FODwvEVAZB0FFvqjO%252FrX5LHI8%252BNtM4qkuvF7YzCCSQPnUoyRB1oY1Df4Y vSYg%253D%253D&req=gfcZ0XEcY8vN7NW9lWBu11mNsb8H6OBUG9h1RO4VgM
APP加固dex解密流程分析
2503_90751789的博客
03-03 1620
这个加固壳和常规的加固方案类似,也是壳DEX->壳ELF->主ELF->主DEX这样的过程,其中壳ELF解密主ELF所用到的算法是RC4和uncompress,壳ELF加载主ELF所用到的技术是自实现linker加固so当然这个加固壳还有许多值得继续研究的地方,例如分发so函数的vmp其内部逻辑究竟是什么样子呢?native化的onCreate函数,dex2c的原理究竟是什么呢?这些都还有待探索,就把它们交给时间和未来的不眠之夜吧月遇从云,花遇和风,今晚上的夜空很美。
[安全] 聊聊App中的加解密
Android技术之家
04-29 371
作者:snwrking 链接:https://juejin.cn/post/7360961068166332457I. 前言之所以写这文章, 主要是有两个原因1). 移动平台上的安全技术一直在变化. 这种变化就让一些网上的资料变得不再有用, 但少接触这块的人就不知道哪些没用, 为何没用, 以及要用什么新方法. 以Android为例, 先是Android 4.0 引入了KeyChain, Andro...
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 1799
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
渗透实战系列】|App渗透 ,由sql注入、绕过人脸识别、成功登录APP
A1353192296的博客
09-30 2263
涉及知识点1、APP抓包和逆向破解加密算法;2、解密参数,寻找注入点;3、Union注入构造万能密码;4、利用忘记密码功能,burpsuite爆破用户名;5、解密短信验证数据包,绕过验证码,成功登录6、burp把手机发向服务器的人脸识别数据包丢掉,并修改为空,绕过人脸识别成功登录。
某电商App 返回数据加密解密分析(四)
fenfei331的博客
12-29 3104
一、目标 最近在抓包某电商App的时候发现一个加密数据,它在做通讯地址请求的时候,请求数据做了加密。返回数据中的地址信息也是密文。 今天我们的目标就是这个数据的加密解密App版本: v10.3.0 二、步骤 分析一下 1、数据的结尾是"==",说明是Base64编码,那么我们可以尝试去Hook Base64相关函数,然后打印堆栈。 2、返回数据格式是 json,那么我们可以尝试去Hook json相关的解析函数。 3、还一个方法就是尝试去搜索 CityName 、CountryName 和 Where
渗透中的关键:DPAPIKerberos加密策略
通过导出域key并利用它解密MasterKeyFile,如在%APPDATA%\Microsoft\Protect\%SID%的文件中,可以访问这些加密的登录信息。此外,即使是在离线环境下,攻击者也可能利用已知的MasterKey进行解密。 2.2 Kerberos协议...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值