安全性测试:OWASP ZAP 2.8 使用指南(四):ZAP扫描移动应用安全
2024-10-16 10:19:55
在做移动应用(APP,小程序等)测试时,需要关注应用安全性。
ZAP是可以用来进行手机移动应用渗透性测试扫描的。
正因为ZAP是采用“中间代理”的形式,截取并扫描所有客户端与服务器的交互请求,作为客户端之一种的移动端应用当然也在其范围之内。
更多ZAP代理原理和设置请翻阅安全性测试:OWASP ZAP 2.8 使用指南(三):ZAP代理设置
需求
安装于PC端的OWASP ZAP客户端
- 手机模拟器/真机
安卓设置
我们将移动APP的形式分为两种情况:
被测APP不使用HTTP协议,安卓机器已被root,请使用ProxyDoid
被测APP使用HTTP协议,或者是手机网站,请使用默认安卓代理
使用ProxyDroid
ProxyDroid是安卓的一个免费开源软件。
ProxyDroid包含了一系列代理工具和防火墙等,可以轻松实现对于APP交互信息的导向。
使用ProxyDroid需要取得手机root权限。
- 打开ProxyDroid
- 修改代理为OWASP ZAP代理的IP
- 启用代理开关
- 赋予root权限
使用默认安卓代理
确保手机wifi和ZAP代理处于同一局域网内
- 进入手机“设置-无线和网络-WLAN”
- 选中已连接的wifi选择“修改网络”
- 勾选“显示高级选项”
- 选择代理方式为“手动”
- 填入ZAP地址和端口
配置好代理后,移动应用上的所有出入信息都将被ZAP截获,在截获的同时ZAP将实施“被动扫描”,将他们初扫一遍。
由于许多APP可能有鉴权操作(小程序由于微信的openid存在又要更受限),所以ZAP的两种爬虫:默认爬虫和Ajax爬虫都不是特别给力。
推荐连上ZAP代理以后,再对被测程序进行手动访问,所有页面将被ZAP记录,待主要页面访问完毕后再使用“主动扫描”即可。
最新文章
- [MySQL][Spider][VP]Spider-3.1 VP-1.0 发布
- linux命令语法格式
- IOS VFL屏幕自适应
- Laravel 5 系列入门教程(一)【最适合中国人的 Laravel 教程】
- DataGridView的自定义列排序
- ZOV压敏电阻
- 安装Oracle数据库和PLSQL连接数据库
- 二探ListView
- Uva 11729 Commando War (简单贪心)
- springboot 文件上传下载
- 引用的作用&;引用与指针的区别
- scheduler 基本原理
- libcurl编译使用,实现ftp功能
- js写2048游戏代码
- centos 最小化安装后要做的事情
- hive 处理小文件,减少map数
- spring 3.0版本以上jar包使用以及依赖关系
- hdu 1392 Surround the Trees 凸包模板
- 文本情感分类:分词 OR 不分词(3)
- js常见报错解决方法
热门文章
- 一统江湖的大前端(8)- velocity.js 运动的姿势(上)
- 最全的linux系统安装教程和排错方法
- web漏洞-命令执行、文件上传、XSS
- 通过Redis 实现分布式锁_利用Jedis 客户端
- 【Ubuntu 16.04.2_64】系统配置
- poj 2513 Colored Sticks (trie树+并查集+欧拉路)
- 获取本地计算机名称和Ip地址
- 《Java知识应用》Java发送邮件(QQ,163)
- GHOST CMS - 结构 Structure
- tune kubernetes eviction parameter