前陣子有學員在嘗試使用appscan對公司app做被動式掃描時出現一些問題，發現無法即使匯入了appscan的證書也無法抓到https的包。推薦他使用burpsuite後，成功抓到了https的包並且也完成了他的掃描工作。

首先帶大家了解什麼叫被動掃描。被動掃描和主動掃描是一對，平時你輸入一個url讓工具進行爬取或掃描的這種掃描方式，叫做主動掃描，所有待掃描的連結全是工具主動爬取所得，那麼自然主動掃描的結果其實有一部分取決於工具爬取的能力；與主動掃描不同的是，被動掃描的必要條件是一個代理，可供使用者將客戶端的所有流量代理到工具上，被動掃描的結果取決於使用者在使用客戶端時產生的流量，也就是發起過的請求，而不取決於工具主動爬取的能力。市面上商用的主動掃描的工具不少，商用的被動掃描器並沒有多少，最出名就是burpsuite和appscan。

了解完被動掃描之後，其實只需要做好一點就行，那就是把所有的流量代理到burpsuite即可，那麼下一個問題是，如何能夠讓app所有流量代理過去。

首先，允許裝置所在網路能夠把流量代理到burpsuite上，那麼就要先配置好burpsuite的監聽地址。如果情況特殊，無法找到區域網ip，那可以選擇all interfaces也可以（主要原因可能是在burpsuite啟動後才分配到網絡卡ip，所以導致程式碼讀取不到ip，不過完全不影響操作）。

配置好burpsuite後，把攔截器關閉，觀察HTTP History。

接下來說下android上如何設定，儘量使用root過的真機或是模擬器來進行安全測試。第一步當然是保證網路通暢，將無線網路代理設定成burpsuite監聽的地址（我這裡是192.168.1.3:8080），

並通過瀏覽器訪問到頁面（http://ip:port

或者http://burp，後者能生效的原因是因為代理過程中可以劫持所有的dns所以官方綁定了這麼一個域名）點選右上角下載證書，修改檔案字尾成cer，設定中一些安全選項或其他選項中進行安裝證書，接下來就可以抓爆了。

接下來再介紹下如何抓到iOS的包。這裡以手頭上在用的iOS13.3為例。和Android一樣，需要和burpsuite監聽地址在同一個區域網內，並且保證網路通暢，設定wifi的代理為burpsuite的監聽地址。使用safari開啟burpsuite的頁面下載證書並點選安裝，

接下來就可以試下訪問百度，再看burpsuite抓到的是否有iphoneUA的https百度包：

到這就成功的在burpsuite上抓到了裝置上所有app的大部分的包，這裡不談論app雙向加密，因為會涉及到一部分逆向和脫殼。

這之後，被動掃描的結果就可以看到了。所有可以掃描的漏洞型別都在scanner-issue definition可以看到，不過還是友情提示下，掃描器並不能解決所有問題，世界上暫時沒有一款掃描器能夠掃描出業務邏輯漏洞，所以儘量還是手動抓包進行滲透測試。

作者：Testfan Covan