漏洞发现-APP应用之漏洞探针类型利用修复
抓包工具 WEB 协议面使用说明
打开福利期货的登录界面
登录之后随意的点击解界面,查看历史数据包
筛选包含id关键字的数据包
发现一些数据包
浏览器访问数据包的URL地址(访
问失败原因:第一:可能有识别,只能用手机访问,通过修改User-Agent。第二:可能会检测跳转的网站,修改referer)
这里的api的三级域名应该是api接口叭,正常web域名不是这个
换一个正常点的域名尝试(访问成功)
直接用app注册的账户登录(发现登录成功)
抓包工具非 WEB 协议面使用说明
wireshark抓包
通过协议的划分,找到HTTP协议
- 抓取的是本地的网卡的接口
- 这里有tcp,udp协议等等
- 点击数据包查看(这里就可以查看除了HTTP协议之外的udp,tcp协议等等)
安卓逆向便捷APK一键提取URL演示,将apk文件放入app目录下
运行EXE文件提取URL以及一些其它的信息
- 在实战中,一面要用漏了个大洞提取URL,另一方面也要用抓包工具进行抓包
- 此外,还可以用一键反编译apk来进行Java代码审计
涉及资源
Alipay
Wechat
最后一次更新于2022-03-18 09:38
0 条评论