写日记,可以让我养成学习的好习惯!
路过的同学,请多批评!多指导!
app安全测试心得
上一篇 /
下一篇 2015-03-11 10:42:59
/ 个人分类:安全测试
之前在做
web测试的时候,安全方面会用AppScan,方便,对技术要求也不高,但是app怎么做呢?
到现在我还没有发现一款安全扫描工具适用于app,那么app的安全怎么做的?
一提到安全,我们首先映入脑海的就是sql注入、关键信息加密,其实不管web还是app测试,我们只要能抓包,就可以做很多事情。
这几天系统的研究了一下app抓包,简单做个笔记!
JDK、电脑(带有wifi)、
手机、burpsuite工具
2、设置
打开burpsuite,proxy-options设置daili,daili服务器ip就是电脑ip;
设置手机wifi信息,连接的wifi与电脑一致,并设置wifi为“手工daili”方式,其中服务器ip就是电脑ip,端口为burpsuite中的端口;
3、执行测试
关键信息:通过以上步骤,然后在手机上操作要测试的app,burpsuite即可截取数据包,通过日志即可查看关键信息是否加密,如密码
表单提交:在文本框中输入一段脚本代码,如<script>alert(111)</script>,然后提交,如果页面中正常显示这段代码,则测试通过,因为程序对该脚本进行了处理,如果只显示111,则存在安全漏洞
数据篡改:通过抓取的数据包,对关键信息进行修改并提交,如果修改后的信息能正常进行业务操作,说明存在漏洞
说明:以上是我个人所得,可能描述不够准确,仅供参考!
如转载请说明出处!谢谢!
收藏
举报
TAG:
