APP安全测试小技巧---证书校验绕过

随着移动互联网的快速发展,很多业务已转移到移动端进行运营,随之而来的就是移动端的安全问题,在早期移动互联网刚刚兴起的时候,很多APP没有重视安全问题,故而没有进行一定的防护,换而言之就运行在手机端的web程序,所以早期安全测试很简单,也很容易发现问题(这里不讨论漏洞问题,只是介绍一个测试小技巧)。

常用的web安全测试往往会借助Burpsuite这个神器进行测试,主要抓包分析。相信很多搞安全的同学都知道APP的抓包方式和流程,这里不多赘述了,抓取http的数据包很容易,但是抓取https数据包时就犯难了,因为经常会遇到SSL Pinning导致测试遇到瓶颈,网上有很多办法可以绕过,例如:

  1. Xposed+JustTrustMe;
  2. 使用Frida绕过;
  3. 其他...(我目前只用过这两个,因为懒)

但是以上很多方法往往需要手机要有root权限,而且过程较为复杂。这里演示抓包失败的例子:

1、在APP内安装证书,并设置好代理;

2、对有做证书校验的APP进行测试,Burpsuite开启抓包时,会提示抓不到,并且APP会进行相应的提示。

使用小技巧(主要通过挂代理,不是直接抓APP的数据包)进行测试,例子如下:

1、开启Burpsuite的代理;

2、开启代理软件proxifier,设置对应的代理服务器和代理规则

需要注意选对应用程序!!!!

3、取消APP上的代理但是要注意仍需安装证书,可以通过APP的文件助手进行安装。

3、可以成功抓取https数据包

以上技巧在一个“养猫博主”指导下完成,仅供参考,有任何疑问请私聊(QQ:1049180739 记得备注来意)

APP安全测试小技巧相关推荐

  1. APP后期运营小技巧

    APP的后期运营被开发者普遍认为是最难的一部分,因此大量移动APP开发者只注意APP的下载量和激活量,并且把这些指标看成是一款APP成功与否的标志,而忽略了APP的后期运营,甚至很多APP出现了&qu ...

  2. 石头扫地机器人卡顿_石头扫地机器人T7系列APP有这些小技巧

    石头扫地机器人T7系列除了可以通过机身自带的三个按键控制外,还可以通过米家APP和石头科技自有App Roborock来实现更多的功能.掌握石头扫地机器人T7系列APP使用小技巧,可以有效提升清扫体验 ...

  3. 石头机器人拖地水量调节_石头扫地机器人T7系列APP有这些小技巧

    石头扫地机器人T7系列除了可以通过机身自带的三个按键控制外,还可以通过米家APP和石头科技自有App Roborock来实现更多的功能.掌握石头扫地机器人T7系列APP使用小技巧,可以有效提升清扫体验 ...

  4. 电脑测试软件_科普丨电脑小白必看的显卡测试小技巧

    对很多电脑小白来说,新机入手总要亲自验证各大配件性能表现,之前给大家推过CPU测试软件.检测方法,今天这里小编继续说一下显卡的常用检测软件和相关注意事项. GPU-Z 此前说过GPU-Z可以对显卡进行 ...

  5. Discuz app打包app上架appstore小技巧

    做了很多年的论坛网站了,从discuz到pw再到discuz,作为一个资深的草根站长,混迹于建站领域多年.我们主要是做本地门户的,现在做单纯的PC站其实流量已经很有限了,一直也在观察用什么方法转型到移 ...

  6. 每天一个测试小技巧之Faker——随机数据生成

    文章目录 什么是Faker? 安装Faker Faker引用及初始化 日期类随机数据 随机字符串/数字/加密 随机人物相关信息 随机地址信息数据 随机公司信息数据 随机网络信息数据 随机用户代理信息 ...

  7. 【MATLAB appdesigner】14_app界面“运行”小技巧总结(非常干)

    创作时间:2021-04-19 Readme: 受到广大读者的要求,迫切需要学习 如何在多个app界面中进行参数传递? 我打算分多篇文章将这里讲述清楚,继续延续我的写作风格,使用通俗易懂的语言,把复杂 ...

  8. UIautomator2:APP自动化测试方法与小技巧记录(文末附实用APP测试脚本编写模板)

    uiautomator2是一个python的用来自动化操作手机的库,可用于APP自动化测试.就笔者的使用体验,比appuim更稳定.易用.本文以大家最常用的APP:微信为例子,记录uiautomato ...

  9. 超实用小技巧,iPhone如何除去APP的开屏广告?

    超实用小技巧,iPhone如何除去APP的开屏广告? https://new.qq.com/rain/a/20221207A06LFG00 经过测试,确实有效 2023年2月14日12:35:34 i ...

最新文章

  1. keepalived+LVS的实现
  2. Linux平台安装MongoDB
  3. dpkg: 处理软件包 update-notifier-common (--configure)时出错:
  4. SVN合并(merge)的使用
  5. CA AutoSys Workload Automation r11 Quick Resource Guide
  6. 和 对比_Yeezy350V2新灰橙真假对比
  7. python微信小程序抢购教程_微信小程序系统教程[高级阶段]——python版电商系统...
  8. misc.imrotate()
  9. 论网站CDN的绕过姿势
  10. 【出国面试】出国 交换 / 访学 / 留学 国外导师面试经验分享
  11. sql还原mysql_如何还原sql数据库
  12. 思科VLAN Trunk
  13. PyTorch搭建ANN实现时间序列预测(风速预测)
  14. piaget读法_读音教学 | 这些手表品牌原来是这么念的!
  15. 百分点感知智能实验室:计算机视觉理论和应用研究
  16. ucore - 第一章 - bootloader启动过程
  17. 【华为OD机试真题 python】最短木板长度【2022 Q4 | 100分】
  18. 学编程看书好还是看视频好?
  19. 广度优先搜索(BSF)和深度优先搜索(DSF)示例
  20. 成功发行5亿元公司债,获资本支持的碧桂园稳了吗?

热门文章

  1. 超级全的PS快捷键总结,建议收藏
  2. 京津冀大数据协同处理中心启动
  3. 【数据压缩】数据压缩原理
  4. BT_Panel 宝塔开心面板
  5. activiti学习(十六)——并行网关、排他网关、包含网关
  6. js:对以下学员随机排序,生成一个新数组:​ var arr = [“鹿晗“,“王俊凯“,“蔡徐坤“,“彭于晏“,“周杰伦“,“刘德华“,“赵本山“];
  7. 正则表达式校验密码必须是包含大、小写字母、数字、特殊符号且12位以上(含)
  8. 蓝牙定位系统中的可靠性
  9. 大白话解析Apriori算法python实现(含源代码详解)
  10. 通俗易懂的贝叶斯定理