【技术分享】用Burpsuite测试移动应用程序

2018年01月04日 15:58 1270

保护移动应用程序是当今最重要的问题之一, 因此,对移动应用程序的测试已成为一种必要性,不仅向客户提供足够的安全性,而且向公司提供足够的安全性。

在这篇文章中,我们将介绍如何使用Burp Suite来测试移动应用程序。


介绍

Burp Suite是应用最广泛的软件包之一,不仅能够测试web应用程序,还能够用于笔测移动应用程序。它被设计成渗透测试仪,具有许多功能,可以帮助执行各种与安全相关的任务,具体取决于所使用的环境。

Burp套件上提供的工具如下:

· 代理服务器(Proxy):Burp Suite带有一个在8080端口上默认运行的代理服务器。这个代理服务器使得它能够拦截和处理(转发,删除等)客户端和web应用之间的流量。

· 爬虫(Spider):此功能用于抓取位于目标环境中的Web应用程序,以查找新的链接,内容等。

· 扫描器(Scanner):此功能用于扫描搜索漏洞和隐藏弱点的Web应用程序。

· 中继器(Repeater):中继器用于多次修改和发送相同的请求,以分析由此产生的不同响应。

· 音序器(Sequencer):音序器是用于分析由所述应用程序发出的会话令牌的随机程度的专用工具。

· 解码器(Decoder):该工具用于编码和加密数据,或解密数据。

· 比较器(Comparer):这个工具用于比较两个请求,响应或其他类型或类型的数据。

· 入侵者(Intruder):这是用于各种pentesting目标,如利用漏洞,发动字典攻击等。

有关Burp套件的更多信息,请点击这里找到一篇内容充实的文章:


如何安装BURP SUITE

Burp Suite默认安装在Kali Linux中,但可以在任何平台上使用。更多信息可以在这里找到https://portswigger.net/burp/,运行Burp Suite后,将出现以下屏幕:

接下来,点击“开始”,如下图所示:

从这里,进入代理选项卡,然后选择“选项”按钮:

点击界面(默认为127.0.0.1),然后:

1. 点击编辑。

2. 选择“所有界面”。

3. 点击确定。

这些步骤如下所示:

之后,您必须准备好手机,然后选择“设置”。重要提示:您必须在同一个无线网络上。为此,请在设置菜单中选择Wi-Fi选项:

下一个:

选择你的无线网络。

选择高级设置。

将代理选项设置为手动:

完成上述步骤后,输入机器的IP地址和Burp Suite的监听端口(默认为8080)。如下图所示:

一旦完成上述工作:

浏览器打开http://burp suite来下载burp套件证书,以便能够拦截SSL流量。

点击CA证书并将文件重命名为“cacert.cer”:

完成上述操作后,转到文件的位置并将其打开,然后从那里安装,自动运行。重要提示:请确保选择VPN和应用程序:

一旦您在智能手机上打开移动应用程序,就可以拦截您的智能手机和您当前访问的网络服务器之间的所有通信。如下图所示:


拦截内容

以下是在这些类型的日志文件中查找的内容:

未加密的流量:

下面的例子清楚地表明流量(SSL)没有加密,这意味着攻击者可以非常容易地拦截用户名/密码。

会话Cookie:

Session Cookies的拦截允许Cyber攻击者劫持受害者会话,而不需要任何密码或任何其他类型和种类的凭证。如下图所示:

信息泄露:

下面的屏幕显示“SARAHA”移动应用程序,它可以在您不知情的情况下将您的所有手机联系人秘密发送给Cyber攻击者:

使用Burp Suite软件包搜索的其他无关项目包括以下内容:

· 授权/认证不足,不正确的证书验证

· 移动应用程序如何在笔测环境中工作

· 任何使用的API


结论

在本文中,我们发现了如何使用Burp Suite来测试移动应用程序,如何安装它以及测试团队显示哪些信息和数据。在接下来的系列文章中,我们将学习如何测试移动应用程序的其他方式。

本文转载自嘶吼


阿里聚安全

阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部出品,面向企业和开发者提供互联网业务安全解决方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。


标签

  • 短信
  • 积分兑换
  • 仿冒应用
  • 漏洞分析
  • 漏洞预警
  • 年度报告
  • 安全报告
  • 病毒分析
  • 阿里聚安全
应用更安全,用户更放心! 立即登录