关注我们

用Burpsuite测试移动应用程序

LzersLzers 安全文摘 2018-04-12 568387 0

保护移动应用程序是当今最重要的问题之一, 因此,对移动应用程序的测试已成为一种必要性,不仅向客户提供足够的安全性,而且向公司提供足够的安全性。

用Burpsuite测试移动应用程序

如何安装BURP SUITE

Burp Suite默认安装在Kali Linux中,但可以在任何平台上使用。更多信息可以在这里找到https://portswigger.net/burp/,运行Burp Suite后,将出现以下屏幕:

用Burpsuite测试移动应用程序

从这里,进入代理选项卡,然后选择“选项”按钮:

用Burpsuite测试移动应用程序

之后,您必须准备好手机,然后选择“设置”。重要提示:您必须在同一个无线网络上。为此,请在设置菜单中选择Wi-Fi选项:

用Burpsuite测试移动应用程序

完成上述步骤后,输入机器的IP地址和Burp Suite的监听端口(默认为8080)。如下图所示:

用Burpsuite测试移动应用程序

完成上述操作后,转到文件的位置并将其打开,然后从那里安装,自动运行。重要提示:请确保选择VPN和应用程序:

用Burpsuite测试移动应用程序

拦截内容

以下是在这些类型的日志文件中查找的内容:

未加密的流量:

下面的例子清楚地表明流量(SSL)没有加密,这意味着攻击者可以非常容易地拦截用户名/密码。

用Burpsuite测试移动应用程序

信息泄露:

下面的屏幕显示“SARAHA”移动应用程序,它可以在您不知情的情况下将您的所有手机联系人秘密发送给Cyber攻击者:

用Burpsuite测试移动应用程序

使用Burp Suite软件包搜索的其他无关项目包括以下内容:

· 授权/认证不足,不正确的证书验证

· 移动应用程序如何在笔测环境中工作

· 任何使用的API

结论

在本文中,我们发现了如何使用Burp Suite来测试移动应用程序,如何安装它以及测试团队显示哪些信息和数据。在接下来的系列文章中,我们将学习如何测试移动应用程序的其他方式。


版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢0评论已闭