018-APP资产&知识产权&应用监控&静态提取&动态抓包&动态调试

网络安全 > 小迪安全2023 > 信息打点
Created At :
Views 👀 :
  1. 信息打点-APP资产&知识产权&应用监控&静态提取&动态抓包&动态调试
    1. APP资产-Web&备案信息&单位名称发现
      1. 1.名称获取APP信息(爱企查/小蓝本/七麦(推荐)/点点(推荐))
      2. URL网站备案查APP
    2. APP资产提取
      1. APP资产提取–静态分析(最简单的分析)
      2. APP资产提取–动态分析–抓包
      3. APP提取信息-动态调试

信息打点-APP资产&知识产权&应用监控&静态提取&动态抓包&动态调试

获取app信息–>从其中提取资产

APP资产-Web&备案信息&单位名称发现

1.名称获取APP信息(爱企查/小蓝本/七麦(推荐)/点点(推荐))

通过目标单位名称和信息搜索其可能开放出的app信息和相关资产信息

https://www.xiaolanben.com/

https://aiqicha.baidu.com/

https://www.qimai.cn/

https://app.diandian.com/

URL网站备案查APP

  • 查备案信息

    没有备案信息:网站可能根本没有app;网站是违法黑产网站(可能在网站上找到单独下载地址)

    有备案信息:备案查询,app市场直接搜单位名称

APP资产提取

通过获取app配置、数据包,取获取url、api、osskey、js等敏感信息

  • 资产信息:IP、域名、网站 –> web测试,接口测试,服务测试
  • 泄露信息:配置Key、资源文件 –> key进行利用(osskey利用、邮件配置)
  • 代码信息:java代码安全 –> 逆向相关问题

app中搜集资产的方法:

  • 1.抓包提取–动态表现
  • 2.提取(反编译)–静态表现&动态调试
  • 3.字符串搜索关键信息(反编译)–静态表现

APP资产提取–静态分析(最简单的分析)

逆向-反编译分析源码-提取数据

优点:数据较为完整

缺点:有很多无用资产(没有使用的功能)

自动反编译分析在线网站:https://www.zhihuaspace.cn:8888/ ; https://mogua.co/

本地工具:

  • AppInfoScanner:https://github.com/kelvinBen/AppInfoScanner

  • MobSF:https://github.com/MobSF/Mobile-Security-Framework-MobSF(在线网站的源功能,且动态分析免费)

    本地环境搭建:https://blog.csdn.net/ljh824144294/article/details/119181803

APP资产提取–动态分析–抓包

APP抓包–抓取表现出来的数据

优点:没有误报

缺点:无法做到完整(需要交互)

静态提取信息与动态提取信息可能结果大不相同:静态源码有些功能可能并没有在动态显示中表现出来、没有运行和使用

APP提取信息-动态调试

优点:没有误报,解决不能抓包、代理的情况。从逆向的角度可以实时看到app调用链

缺点:需要人为操作,无法做到完整

MobSF+模拟器(安装在同一环境下)

某些app抓包要考虑证书和代理问题,但动态调试不需要

安卓联动-docker虚拟机环境

https://blog.csdn.net/qq_47493625/article/details/136226622

©2017 十二亿七千光年

Built with Hexo and 3-hexo theme