【深蓝实验室】移动安全之少壮不努力老大搞APP
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
本文讲述了作者在红队检测项目中遇到的移动端挑战,通过抓包和反编译等手段成功绕过微信小程序和APP的安全措施,发现了潜在漏洞。提醒读者在渗透测试中要关注前端硬编码的潜在风险。
🎯
关键要点
- 作者在红队检测项目中遇到移动端的挑战。
- 信息收集的重点包括APP、微信公众号和微信小程序。
- 公众号没有发现利用点,小程序遭遇拒绝访问。
- 使用Fiddler和BurpSuite进行抓包,解决了证书问题。
- 通过SSLUnpinning和JustTrustMe++成功抓取数据包。
- APP的渗透测试面临检测和加密的挑战。
- 反编译APP时遇到加壳,尝试多种工具未能成功。
- 通过信息收集找到过期的OSS密钥,发现潜在漏洞。
- 强调前端硬编码的潜在风险,提醒渗透测试者关注。
➡️
