首頁>科技>

前陣子有學員在嘗試使用appscan對公司app做被動式掃描時出現一些問題,發現無法即使匯入了appscan的證書也無法抓到https的包。推薦他使用burpsuite後,成功抓到了https的包並且也完成了他的掃描工作。

首先帶大家了解什麼叫被動掃描。被動掃描和主動掃描是一對,平時你輸入一個url讓工具進行爬取或掃描的這種掃描方式,叫做主動掃描,所有待掃描的連結全是工具主動爬取所得,那麼自然主動掃描的結果其實有一部分取決於工具爬取的能力;與主動掃描不同的是,被動掃描的必要條件是一個代理,可供使用者將客戶端的所有流量代理到工具上,被動掃描的結果取決於使用者在使用客戶端時產生的流量,也就是發起過的請求,而不取決於工具主動爬取的能力。市面上商用的主動掃描的工具不少,商用的被動掃描器並沒有多少,最出名就是burpsuite和appscan。

了解完被動掃描之後,其實只需要做好一點就行,那就是把所有的流量代理到burpsuite即可,那麼下一個問題是,如何能夠讓app所有流量代理過去。

首先,允許裝置所在網路能夠把流量代理到burpsuite上,那麼就要先配置好burpsuite的監聽地址。如果情況特殊,無法找到區域網ip,那可以選擇all interfaces也可以(主要原因可能是在burpsuite啟動後才分配到網絡卡ip,所以導致程式碼讀取不到ip,不過完全不影響操作)。

配置好burpsuite後,把攔截器關閉,觀察HTTP History。

接下來說下android上如何設定,儘量使用root過的真機或是模擬器來進行安全測試。第一步當然是保證網路通暢,將無線網路代理設定成burpsuite監聽的地址(我這裡是192.168.1.3:8080),

並通過瀏覽器訪問到頁面(http://ip:port

或者http://burp,後者能生效的原因是因為代理過程中可以劫持所有的dns所以官方綁定了這麼一個域名)點選右上角下載證書,修改檔案字尾成cer,設定中一些安全選項或其他選項中進行安裝證書,接下來就可以抓爆了。

接下來再介紹下如何抓到iOS的包。這裡以手頭上在用的iOS13.3為例。和Android一樣,需要和burpsuite監聽地址在同一個區域網內,並且保證網路通暢,設定wifi的代理為burpsuite的監聽地址。使用safari開啟burpsuite的頁面下載證書並點選安裝,

接下來就可以試下訪問百度,再看burpsuite抓到的是否有iphoneUA的https百度包:

到這就成功的在burpsuite上抓到了裝置上所有app的大部分的包,這裡不談論app雙向加密,因為會涉及到一部分逆向和脫殼。

這之後,被動掃描的結果就可以看到了。所有可以掃描的漏洞型別都在scanner-issue definition可以看到,不過還是友情提示下,掃描器並不能解決所有問題,世界上暫時沒有一款掃描器能夠掃描出業務邏輯漏洞,所以儘量還是手動抓包進行滲透測試。

作者:Testfan Covan

最新評論
  • 整治雙十一購物亂象,國家再次出手!該跟這些套路說再見了
  • 22歲的京東第一次盈利,幹了七年的CFO決定離開