app服务端漏洞

移动app大多通过web api服务的方式跟服务端交互,这种模式把移动安全跟web安全绑在一起。移动app以web服务的方式跟服务端交互,服务器端也是一个展示信息的网站,常见的web漏洞在这也存在,比如说SQL注入、文件上传、中间件/server漏洞等,但是由于部分app不是直接嵌入网页在app中,而是使用的api接口返回josn数据,导致扫描器爬虫无法爬取链接。

反编译APP

http[s]代理抓包

反编译app

serch:http

这里写图片描述
这里写图片描述

找到此app与腾讯bugly产品有关,虽然代码被混淆过,但查找反编译出来的东西(smali反汇编代码、res资源文件、assets配置文件、lib库文件等),找到b类命名的源码,确定该app使用了Bugly Android SDK,使用了第三方接口。

这里写图片描述

这里写图片描述

结论:可在反编译工具中搜索关键字符,查看源代码中是否泄露了关键的接口和网络地址。

AnonymousBu wechat
bujun1018
-------------endingThanks for you reading-------------
显示 Gitment 评论
0%