写日记,可以让我养成学习的好习惯! 路过的同学,请多批评!多指导!

app安全测试心得

上一篇 / 下一篇  2015-03-11 10:42:59 / 个人分类:安全测试

之前在做web测试的时候,安全方面会用AppScan,方便,对技术要求也不高,但是app怎么做呢?
到现在我还没有发现一款安全扫描工具适用于app,那么app的安全怎么做的?
 
一提到安全,我们首先映入脑海的就是sql注入、关键信息加密,其实不管web还是app测试,我们只要能抓包,就可以做很多事情。
这几天系统的研究了一下app抓包,简单做个笔记!
1、准备工作
  JDK、电脑(带有wifi)、手机、burpsuite工具
2、设置
  打开burpsuite,proxy-options设置daili,daili服务器ip就是电脑ip;
  设置手机wifi信息,连接的wifi与电脑一致,并设置wifi为“手工daili”方式,其中服务器ip就是电脑ip,端口为burpsuite中的端口;
3、执行测试
  关键信息:通过以上步骤,然后在手机上操作要测试的app,burpsuite即可截取数据包,通过日志即可查看关键信息是否加密,如密码
  表单提交:在文本框中输入一段脚本代码,如<script>alert(111)</script>,然后提交,如果页面中正常显示这段代码,则测试通过,因为程序对该脚本进行了处理,如果只显示111,则存在安全漏洞
  数据篡改:通过抓取的数据包,对关键信息进行修改并提交,如果修改后的信息能正常进行业务操作,说明存在漏洞
 
  说明:以上是我个人所得,可能描述不够准确,仅供参考!
       如转载请说明出处!谢谢!
 
 

TAG:

引用 删除 yangyang1992   /   2015-10-08 15:20:05
1
 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

日历

« 2018-01-19  
 123456
78910111213
14151617181920
21222324252627
28293031   

数据统计

  • 访问量: 12159
  • 日志数: 8
  • 图片数: 1
  • 文件数: 1
  • 建立时间: 2015-03-02
  • 更新时间: 2015-06-17

RSS订阅

Open Toolbar