實戰教程:用Burpsuite測試移動應用程序
保護移動應用程序是當今最重要的問題之一, 因此,對移動應用程序的測試已成為一種必要性,不僅向客戶提供足夠的安全性,而且向公司提供足夠的安全性。
在這篇文章中,我們將介紹如何使用Burp Suite來測試移動應用程序。
介紹
Burp Suite是應用最廣泛的軟體包之一,不僅能夠測試web應用程序,還能夠用於筆測移動應用程序。它被設計成滲透測試儀,具有許多功能,可以幫助執行各種與安全相關的任務,具體取決於所使用的環境。
Burp套件上提供的工具如下:
· 代理伺服器(Proxy):Burp Suite帶有一個在8080埠上默認運行的代理伺服器。這個代理伺服器使得它能夠攔截和處理(轉發,刪除等)客戶端和web應用之間的流量。
· 爬蟲(Spider):此功能用於抓取位於目標環境中的Web應用程序,以查找新的鏈接,內容等。
· 掃描器(Scanner):此功能用於掃描搜索漏洞和隱藏弱點的Web應用程序。
· 中繼器(Repeater):中繼器用於多次修改和發送相同的請求,以分析由此產生的不同響應。
· 音序器(Sequencer):音序器是用於分析由所述應用程序發出的會話令牌的隨機程度的專用工具。
· 解碼器(Decoder):該工具用於編碼和加密數據,或解密數據。
· 比較器(Comparer):這個工具用於比較兩個請求,響應或其他類型或類型的數據。
· 入侵者(Intruder):這是用於各種pentesting目標,如利用漏洞,發動字典攻擊等。
如何安裝BURP SUITE
Burp Suite默認安裝在Kali Linux中,但可以在任何平台上使用。更多信息可以在這裡找到https://portswigger.net/burp/,運行Burp Suite後,將出現以下屏幕:
接下來,點擊「開始」,如下圖所示:
從這裡,進入代理選項卡,然後選擇「選項」按鈕:
點擊界面(默認為127.0.0.1),然後:
1. 點擊編輯。
2. 選擇「所有界面」。
3. 點擊確定。
這些步驟如下所示:
之後,您必須準備好手機,然後選擇「設置」。重要提示:您必須在同一個無線網路上。為此,請在設置菜單中選擇Wi-Fi選項:
下一個:
選擇你的無線網路。
選擇高級設置。
將代理選項設置為手動:
完成上述步驟後,輸入機器的IP地址和Burp Suite的監聽埠(默認為8080)。如下圖所示:
一旦完成上述工作:
瀏覽器打開http://burp suite來下載burp套件證書,以便能夠攔截SSL流量。
點擊CA證書並將文件重命名為「cacert.cer」:
完成上述操作後,轉到文件的位置並將其打開,然後從那裡安裝,自動運行。重要提示:請確保選擇VPN和應用程序:
一旦您在智能手機上打開移動應用程序,就可以攔截您的智能手機和您當前訪問的網路伺服器之間的所有通信。如下圖所示:
攔截內容
以下是在這些類型的日誌文件中查找的內容:
未加密的流量:
下面的例子清楚地表明流量(SSL)沒有加密,這意味著攻擊者可以非常容易地攔截用戶名/密碼。
會話Cookie:
Session Cookies的攔截允許Cyber攻擊者劫持受害者會話,而不需要任何密碼或任何其他類型和種類的憑證。如下圖所示:
信息泄露:
下面的屏幕顯示「SARAHA」移動應用程序,它可以在您不知情的情況下將您的所有手機聯繫人秘密發送給Cyber攻擊者:
使用Burp Suite軟體包搜索的其他無關項目包括以下內容:
· 授權/認證不足,不正確的證書驗證
· 移動應用程序如何在筆測環境中工作
· 任何使用的API
結論
在本文中,我們發現了如何使用Burp Suite來測試移動應用程序,如何安裝它以及測試團隊顯示哪些信息和數據。在接下來的系列文章中,我們將學習如何測試移動應用程序的其他方式。
※滲透技巧——Windows中Credential Manager的信息獲取
※IoT安全之設備安全性亟需提高
※谷歌、Facebook等公司不願分享用戶數據,英國政府用高稅收威脅
※安卓惡意軟體檢測:系統調用日誌+機器學習演算法
TAG:嘶吼RoarTalk |