app渗透测试_app渗透测试流程 - CSDN
精华内容
参与话题
  • APP渗透测试篇(上)

    2020-08-10 09:46:03
    一、App渗透测试原理 1.简介 App渗透测试与Web渗透测试从某种角度说基本没有区别 App其实就是手机软件,咱们不需要害怕他。 说一个简单的道理,一个网站存在sql注入,用电脑访问存在,用...
    每日一句:
    
    		渗透测试,一定要有耐心,所有的功能点都要测试。
    		
    		很多地方不亲身经历是没有太多的感受的。
    

    一、App渗透测试原理

    	1.简介
    		
    				App渗透测试与Web渗透测试从某种角度说基本没有区别
    			
    				App其实就是手机软件,咱们不需要害怕他。
    				
    				说一个简单的道理,一个网站存在sql注入,用电脑访问存在,用咱们的手机去访问一样存在注入。
    				
    				大部分漏洞的存在并不是在客户端而是在服务端
    				
    				例如:
    						SQL注入、验证码绕过、越权漏洞、支付漏洞、CSRF、XSS、
    						
    						变量覆盖、反序列化、文件包含、SSRF、XXE、文件上传等等
    				
    				这些漏洞web存在,app也存在。
    
    
    	2.换个思维角度
    	
    				我们再换一个思路,渗透测试网站,其实核心思想是控制传参访问,与服务器产生交互。
    				
    				如果说我们不对他进行访问和传参,那么他有可能被你渗透攻击下来吗?
    				
    				答案是否定的。
    						
    				渗透测试的核心其实就是把控传参。其实和App交互的还是服务器,用的还是HTTP协议,
    				
    				交互的服务器还是同一个,网站和App和同一个服务器交互都是很正常的事情。
    				
    				一般都是用api通信,例如:
    				
    						http://xxx/api.xxxxx.com/Api/xxx
    
    	3.小结
    	
    				正常网站的交互: 浏览器 -> 网站
    
    				App的交互: App -> 网站
    
    				我们既然可以抓网站的数据包,那么我们能否抓App的数据包?
    					当然可以
    	
    	4.补充
    			(1)
    			
    				提起app,有的朋友可能会在自动在脑海中给App渗透增加一些难度,比如通信加密、重打包、脱壳、逆向 apk解包等等
    				
    				我就说一句,难到web网站的传输没有加密传输的? 一个目标网站没有源码,就不测试了?src没有源码就不挖掘了?
    				
    				不要将自己的思维固定。	在多说一些,其实微信小程序与web也有着千丝万缕的联系,本质区别并不大。
    				
    				大多app的安全性会比web网站的还差,各种app的破解软件基本遍布大街,
    				
    				因为大多刚刚入门的白帽子认为app很难,很少去搞,加上大多app开发的安全性并不比web开发者强多少。
    				
    				而且经过这么多年的发展,其实web的发展也有了一定的瓶颈,特别是对一些大厂的测试,app的渗透测试是比web更容易下手。
    				
    				话不多说上一些前辈们的案例。
    				
    			(2)前人案例
    			
    					https://www.uedbox.com/?s=wooyun+app
    					
    					逻辑漏洞:https://www.uedbox.com/post/10278/ 
    					
    					假装打码:https://www.uedbox.com/post/10714/
    					
    					越权漏洞:https://www.uedbox.com/post/10172/ 
    					
    					任意密码找回:https://www.uedbox.com/post/9621/
    					
    					SQL注入:https://www.uedbox.com/post/11214/
    					
    					XSS:https://www.uedbox.com/post/10169/ 
    			
    			(3)扩展
    			
    					看这些案例,想起一个之前项目中遇到的情况。
    						
    					测试某集团,注册登录上去,查看我得个人资料。
    						
    					在前端界面看到了我注册时的一些手机号等待,但是在浏览器的JS源码中有所有人的资料
    						
    					其实这些东西(伪打码导致的信息泄露)在项目中很常见,
    						
    					比如,前端显示手机号为:185xxxx6666。抓包就可以看到完整的手机号。
    					
    					有很多小伙伴说挖不倒洞,这些小伙伴问问自己在一个网站上,自己花了多少时间,是不是将与服务器的传参都测试了?
    					
    					是不是返回包都仔细检查了?  我想大概率是没有的,很多时候菜鸡与大佬的区别就是细心,
    					
    					对一般的网站测试中,大佬挖到的洞,只要你细心基本也可以挖掘的到。抛去见识与经验之谈,多多少少总会有一些收获。
    					
    					绝大多数刚入门的白帽子最大的问题是没有耐心与细心。
    					
    					一个网站5分钟找不到漏洞直接放弃,说网站防护的太好,不存在漏洞,这种行为是很不可取,并且可笑的。
    					
    					建议刚刚入门不久但小有实力的白帽子一定要戒骄戒躁,要有一定的耐心与恒心。
    

    二、安装安卓模拟器 + 抓包(夜神)

    	1.安装模拟器
    	
    			既然是App抓包,那肯定需要先安装App,那么Windows电脑上怎么安装App?
    			
    			这里我建议使用安卓模拟器,我用的是夜神模拟器
    	
    					下载地址:https://www.yeshen.com/cn/download/fullPackage
    		
    					直接下载就行,安装就行
    					
    			别的模拟器与真实的手机也是可以的,只要连接到同一个内网(WIFI)。
    	
    	2.原理
    	
    			模拟器的核心就是在电脑上面模拟出一个手机,然后你可以在上面进行一系列的操作,
    			
    			你可以在上面打游戏,也可以办公,
    			
    			比如:我以前拿这个模拟器来挂微信,后面拿来钉钉打卡,最后还玩过吃鸡,模拟器物理挂,专门带妹吃鸡。
    			
    			这些让人脸红的往事就不多提了。
    	
    	3.设置代理
    		
    			模拟器既然拿来做渗透测试,那么我们该如何对安卓模拟器抓包?
    
    			其实很简单。
    			
    			(1)配置模拟器
    			
    				找到设置中的Wifi然后长按当前使用的Wifi,会出现高级选项(修改网络),然后选择手动设置代理就可以。
    				
    				模拟器的IP同虚拟机的IP一样,与本机的IP不是同一个IP。
    			
    				所以大家设置模拟器的代理主机名,不要写127.0.0.1。要设置本机IP,如:192.168.1.66。
    				
    				端口写8080(其实这个端口写什么都行),然后我们去配置Burp。
    				
    			(2)配置burp
    				
    				打开burp,点击Proxy(代理)--Options(设置)--Add(增加)--Specific address(具体地址)
    				
    				选择192.168.1.66。将Bind to port(监听端口)设置为8080--点击ok即可。
    					
    				此时模拟器(手机)上的所有数据都将先发送给burp。
    				
    				可以在模拟器中打开浏览器,访问一些网址,都会在burp中抓到数据。
    				
    				这个时候可能会弹出一些证书问题,一直点击接受就行,
    				
    				当然,想要从根本上解决问题,需要我们给模拟器安装个一下burp的证书。
    			
    			补充:
    			
    				模拟器上这么设置。真实的手机上也这么设置就行。主要真实的手机要与电脑连接同一个内网(WIFI)。
    				另外,其实手机上也有一些抓包软件,但是我个人用不太习惯,且不是太方便就在展开,大家有兴趣可以自己去找找。
    			
    			(3)
    			
    				方式一:
    						打开模拟器浏览器,访问192.168.1.66:8080下载证书
    						
    						点击模拟器的文件管理器,找到刚刚下载的证书。
    						
    						将证书文件的后缀(一般是cacert.der)改为“.cer”
    						
    						点击设置--安全--从sd卡安装(证书)
    						
    						找到刚刚修改后的证书,(找不到直接在搜索框搜索)
    						
    						安装证书,可能会让起名字任意起一个名字即可(如:a)
    				
    				方式二:(推荐)
    				
    						直接在本机浏览器访问192.168.1.66:8080下载证书
    						
    						将后缀改为“.cer”之后,直接拖进模拟器
    						
    						点击设置--安全--从sd卡安装(证书)
    						
    						找到刚刚修改后的证书,(找不到直接在搜索框搜索)
    						
    						安装证书,可能会让起名字任意起一个名字即可(如:a)
    						
    				其实这些和web浏览器安装证书几乎没啥区别,原理也大同小异。
    

    三、实战App渗透测试

    	0.说明
    	
    		这会用到一些App,由一些前辈老师所设计的。因为一些特殊原因,
    		
    		不可能直接放出来公布与众,毕竟不是我写的软件。(有兴趣的同学可以私聊我)
    	
    	1.安装配置环境
    	
    		打开安装完毕的软件,需要小小设置一下。
    		
    		点击软件右上角的设置,填写一个服务器(靶场)地址。		//地址同上述“ 0.说明 ”
    	
    	2.
    		(1)
    			注意的是,很多App访问地址都是写死的。
    		
    			App也是有服务端的(客户端、服务端)
    			
    			客户端就是个人安装的App,服务端就是服务器
    			
    			所以不要认为App所有的操作都是在个人手机上完成的,很多App是不停的在和他设定好的服务器之间进行通信的。
    			
    			为什么上边安装App的地址没有写死呢?因为这是一个靶场。
    		
    		(2)
    			从某种角度说,App的作用很是类似网站web页面的作用,他仅仅是将内容展示给用户。
    			
    			同时,将用户产生的数据发送给写死的服务端。而对于App本身是不会保存太多重要的数据,
    			
    			他也只是从服务器的数据库中读取到了数据,然后经过一些渲染处理展示给手机用户。
    			
    			其本身并不会保存像数据库账户密码等敏感内容,也没必要。
    	
    		(3)
    			另外在模拟器商店下载一些软件的时候,最好将代理关掉。(在模拟器设置--WiFi代理)
    			
    			下载软件的时候可能会走一些其他的协议,代理会影响。
    			
    			当然有一些更加简单粗暴的解决方法:在本机下载app,然后直接拖拽到模拟器安装。
    			
    	3.抓不到数据包
    	
    			有时候一些小伙伴可能会遇到一个问题:
    				
    				我模拟器浏览器的包与大部分应用的数据包都可以抓取得到,但是有个别应用的个别功能数据包就是抓不到
    				
    			这个其实不难理解,在客户端与服务端进行通信的过程之中,有很多的协议。
    			
    			而burp一般仅仅可以拦截到http/https协议的数据包,对于应用的某些功能走一些特殊的协议
    			
    			这个时候原生的burp就显得稍微乏力一些。对于这种情况,大家可以参考一下以下文章:
    			
    					https://www.freebuf.com/articles/network/158589.html
    					
    					https://iassas.com/archives/ffc80a19.html
    					
    			一般这种情况多发生在一些大型App的关键业务处,如登录、找回密码等处。
    		
    	4.靶机问题
    	
    		(1)所有的功能点都要试试
    				
    				~忘记密码处,点击,提醒一些“巴拉巴拉”的信息。貌似这个功能点是假的
    				
    				~只剩下OA登录了(正常的OA办公系统是没有注册功能的)
    						
    						随便用一个账户(如admin,123456)试试,发现多登录几次会提示:
    						
    							“登录错误太频繁,请稍后在试”,这个时候无论我们在写什么密码,都一个提醒。
    							
    							之前查看过源码,大概意思是登录错误几次,就被拉黑了。如何绕过呢?
    						
    		(2)绕过登录拉黑功能 
    				
    				使用任意账户,如(admin,123456)登录。抓包,
    				
    				发现:
    						~内容很简单,没有cookie
    						
    						~一个device(设备)的值,可以试着改一下如:
    							
    							将最后的数字5改成4,或者6在发包试试提示什么?密码不对。
    							
    							这就是一处漏洞了,通过修改传参绕后登录检测功能。
    							
    							补充:
    							
    								一般在渗透测试中,提示你登录太频繁的情况下,可以试着以下操作进行绕过
    								
    									~可以修改一下cookie
    									
    									~增加一个XFF值
    									
    									~修改一下包内传参
    		
    						~传参携带信息猜测解密
    						
    							在数据包中下方,有一些信息(一般是携带的账户,密码等)。
    							
    							而且他的值是:	user:YWRtaW4%3A&pass=.....
    							
    							到这可以对加密进行猜解一下。
    							
    		(3)猜解加密信息
    			
    				将user的值,先进行url解密,得知%3A是“ :”。
    				
    				正常加密中,这个 :是很罕见的。
    				
    				先百度一下前面的几个字母:“YWRtaW4”,没什么收获,但是百度结果关键词后边有的是“ = ”
    					
    				试了试 YWRtaW4= 进行base64解密,直接出结果:admin	//一般看到结尾是“=”的大多是base64编码。
    				
    				结论:先base64加密,将“ = ”替换为“ :”				//其实直接拿“ YWRtaW4:”直接进行base64解密也可以结出东西。 
    						
    				验证:可以将密码的加密值进行base64解密试试,果然也是输出的值。
    				
    						这个时候就可以爆破了
    						
    				补充:在渗透测试过程中,base64、md5是使用的非常广泛的,不认识的一些编码,直接丢进去先解密试试,说不定就有惊喜。
    				
    		(4)base64加密的字典
    					
    				~将自己的常用的字典进行base64加密
    					
    					可以去百度、谷歌一些小脚本。如下边php的小脚本
    						
    							<?php
    								$file = fopen("1.txt","r");
    								while(!feof($file))
    								{
    									echo base64_encode(fgets($file))."<br />";
    								}
    								fclose($file)									
    							?>
    						
    					或者去一些在线网站如:https://www.sojson.com/base64.html
    					
    					补充:
    					
    						多说一句,在web测试中,字典不易过大。一般超过20M我认为都没啥必要,或者说不及格的字典。
    						
    						几个G,十几个G的字典也仅仅在爆破SSH,3389等服务用过。
    						
    						大文本字典,用win自带的notepad打开会很卡(一般超过40M就巨卡),可以去下载一些编辑器打开。
    						
    				~将加密后字典内容中的“=”替换为“:”
    							
    		(5)爆破admin账户
    						
    				~先将密码字典进行base加密魔改。
    				
    				~抓取登陆包,发到burp爆破模块。
    				
    					爆破选项选择第三个 标记一个绕过登录处,一个密码处。
    					
    					//burp的四种爆破模式,大家可以去百度、谷歌一下。了解了解。
    					
    					第一处,选择数字替换。进行绕过登录限制
    					
    					第二处,加密魔改的base字典
    			
    		(6)关于cms的一些补充
    		
    				在渗透测试中,发现目标网站是某CMS搭建的,看看能不能自己在本机也搭建一下。
    				
    				一些cms的数据库中是存在默认测试账户的,很多的管理员一般改密码也仅仅将默认的admin密码修改,
    				
    				对其他测试账户不会修改,在登录的可以试试。
    						
    							
    				
    				另外在实际环境中,爆破admin的概率,其实不如爆破一些测试账户如:
    				
    				test、a、b、admin1、test1、ceshi、ceshi1、公司名、域名、人名等
    				
    				发现这个测试账户的存在,在爆破这些测试账户容易的多。
    				
    		(7)假设用测试登录进去后
    				
    				测试一些功能点处,如打卡处:
    				
    					~一些框可以测试xss,多个框的情况下,可以第一个框写alert(1)、第二个写(2)等,方便区分哪个地方出现问题。
    					
    					~一些地方,可能会有前端过滤,即服务器存在xss,但是你在提交的过程中,前端进行实体化编码等。
    					
    						对这种情况就要抓包,然后再数据包中将内容进行替换为弹窗语句。
    				
    					~在其他有框的地方也可以进行测试,每一个框都试试。比如这个打开有追加说明、催办、评论等等处可以在插入xss语句。
    
    						做渗透测试,一定要耐心,不放过任何交互点、功能点,所有的数据包都要进行测试查看。
    						
    				除了打卡处,还有很多功能处可以去测试,如思考:
    					
    					邮件处可否弹窗呢?看看通讯录是否可越权呢?能不能对一些功能的数据包进行篡改达到低权限看到高权限的信息呢?
    					
    					另外如新增客户处是否可以sql注入呢?	这些地方要想到,更要去测试。
    					
    		(8)App靶场的flag处,
    			
    				任意一个文件上传点,上传图片马。抓取返回包,发现文件保存的地址。
    				
    				结合数据包的其他信息,可以精确到文件的位置,这个靶场服务器是存在CGI解析漏洞的,
    				
    				在图片马后边加 “ /.php?a=phpinfo(); ” 。	之后连接菜刀,蚁剑都行。
    				
    				当然,这是最简单粗暴的,也可以测试其他的文件上传方法。
    
    展开全文
  • APP渗透测试之代理篇

    2019-10-17 10:19:14
    本课程就APP渗透测试中的服务端测试进行讲解,课程中讲解如何使用夜神模拟器,如何抓取app中的http协议流量及HTTPS协议流量。结合web服务端测试,通过抓取的流量进行修改来完成服务端渗透测试。
  • 记一次色情app渗透测试

    千次阅读 2020-06-26 11:42:24
    某个星期六的晚上,我还在挖 edusrc ,刚 getshell 内网漫游完(纯属放屁哈哈哈)准备下机睡觉,修君表哥给我发了某站(表哥们懂的,疯狂暗示),我打开一看,WC好东西,不渗透一波怎么能对得起它呢? 背景: 找到某...

    前言:

    某个星期六的晚上,我还在挖 edusrc ,刚 getshell 内网漫游完(纯属放屁哈哈哈)准备下机睡觉,修君表哥给我发了某站(表哥们懂的,疯狂暗示),我打开一看,WC好东西,不渗透一波怎么能对得起它呢?

    背景:

    找到某app的界面:
    在这里插入图片描述

    咳咳,表哥们别想太多哈,本人纯情小处男,啥都不知道啥都不懂
    在这里插入图片描述
    看了看功能点,有一个注册的地方,但是注册的时候居然要邀请码!!!真的很没意思,一点互联网资源共享精神都没,这就很过分了,这么好的东西怎么能吃独食??必须安排一波

    过程:

    看了看功能点,有一个注册的地方,但是注册的时候居然要邀请码!!!真的很没意思,一点互联网资源共享精神都没,这就很过分了,这么好的东西怎么能吃独食??必须安排一波,没办法,看着到手的资源就要飞了,于心不忍啊,于是将app放到虚拟机,通过抓包拿到其真实域名
    在这里插入图片描述
    然后利用bp的爬虫爬到一处api接口

    在这里插入图片描述
    提示参数缺失 fuzz一波参数
    fuzz.jpg (自行脑部bp fuzz图 忘了截图了)
    在这里插入图片描述
    http://www.xxxxxxx.cn/api/index/tab3?p=1&t=3&v=0&s=0
    然后就是一波中奖

    在这里插入图片描述但是不是DBA 也无法写文件 数据库实在太乱了 懒得一个一个的读
    目前后台地址也还没找到 而且这个站及其的卡 思路完全乱了,,

    想着先利用注入搞一个账号出来 然后登录该app,,看看app内有无什么可利用的
    但是除了一处留言反馈准备测试xss之外,就是各种诱惑。。。。
    留言框只允许中文以及中文符号,但是却是使用js进行验证,抓包即可绕过

    在这里插入图片描述对着该处留言框就是一顿乱插
    中途等了大概10分钟 就当我以为要失败的时候
    在这里插入图片描述
    果然,,菜逼运气好==
    拿到后台登录地址 虽然没有cookie 但是利用注入点读出了后台账号密码
    在这里插入图片描述
    最后登陆后台
    在这里插入图片描述在这里插入图片描述

    看了看后台,app总用户达到1w+…一天用户增加500+
    在这里插入图片描述
    翻了下后台的功能,,发现一处图片上传,而且似乎是js验证的图片类型

    在这里插入图片描述但是在实际上传中 各种失败,应该是前台js验证+后端功能让所有上传的文件强制改名为.jpg

    接下来的事就比较好玩了,虽然拿到了后台,但是没法突破,没卵用
    于是我添加了后台留的一个QQ号
    在这里插入图片描述对方秒通过,经过简单的交流,发现他是这套程序的二开作者,售卖给别人被别人用来当作淫秽视频传播盈利网站了。于是我就将计就计,先唬住他(我摊牌了,我是演员)
    在这里插入图片描述在这里插入图片描述这个地方 hw 和授权书只是我骗他的==
    各位表哥看着爽就行

    在这里插入图片描述在这里插入图片描述甚至他把他的网站后台账号密码都给我了。。。

    在这里插入图片描述tips:以上内容都是瞎编的,大佬们不要当真!

    通过他提供的部分上传验证源码,发现是后段对上传文件强制改名了,我人都傻了,大佬们有绕过思路可以在下方评论

    最后还是没拿到shell等等,,也就是只止步于后台了。
    一方面是这个后台实在太鸡儿卡了,动不动无法响应
    另一方面就是漏洞利用手法没有全面利用,导致忽略了很多getshell的姿势,还是太菜了呜呜呜,表哥们轻喷。
    在这里插入图片描述

    最后,这里附上修君表哥博客:http://www.xiu09.cn/

    展开全文
  • app渗透测试

    2020-03-24 07:58:04
    http://blog.nsfocus.net/app-security-test/app渗透测试要点 http://blog.nsfocus.net/the-challenge-in-penetration-test-for-isp/ 运营商测试要点和挑战 ...手机银行渗透...

    http://blog.nsfocus.net/app-security-test/app渗透测试要点
    http://blog.nsfocus.net/the-challenge-in-penetration-test-for-isp/ 运营商测试要点和挑战
    http://blog.nsfocus.net/mobile-banking-security-assessment-faq/
    手机银行渗透测试
    http://blog.nsfocus.net/mobile-banking-security-assessment/
    手机银行业务安全评估方法

    展开全文
  • APP渗透测试知识

    2020-10-12 12:00:05
    渗透测试:对网站、APP应用进行全面的安全检测与漏洞扫描,模拟黑客的手法对App进行渗透,针对网站、APP存在的漏洞,最后生成对网站、App渗透测试安全报告书。 在对客户网站、APP进行渗透测试之前,都需要获取...

    一、概念

    渗透测试:对网站、APP应用进行全面的安全检测与漏洞扫描,模拟黑客的手法对App进行渗透,针对网站、APP存在的漏洞,最后生成对网站、App的渗透测试安全报告书。

    在对客户网站、APP进行渗透测试之前,都需要获取客户的安全授权,授权进行安全渗透测试服务

    二、渗透测试的范围与服务内容

    网站:SQL注入漏洞,get、post、cookies注入漏洞,延迟注入漏洞,盲注检测,XSS跨站漏洞检测,分反射XSS,持续性XSS,存储性XSS,CSRF漏洞,逻辑漏洞,垂直,平行越权漏洞,文件上传截断绕过漏洞,目录遍历漏洞,URL地址跳转漏洞,代码远程执行漏洞,数据库漏洞,账号弱密码漏洞扫描,任意文件下载漏洞,API接口漏洞检测等。

    三、APP应用安全渗透测试方向

    APP反编译安全测试、APP脱壳漏洞、APP二次打包植入后门漏洞、APP进程安全检测、APP api接口的漏洞检测、任意账户注册漏洞、短信验证码漏洞、签名校验漏洞、App加密/签名破解、APP逆向、SO代码函数漏洞、JAVA层动态调试漏洞、代码注入、HOOK攻击检测、内存DUMP漏洞、AES解密测试、反调试漏洞、APP逻辑漏洞、越权漏洞、平行垂直、获取任意账户信息、弱口令漏洞、暴力破解漏洞、Java漏洞检查、敏感信息泄露等。

    通过每个漏洞合成加以防护,基本上APP应用安全得以保障。

    展开全文
  • APP渗透测试准备(一)

    千次阅读 2019-10-05 21:11:13
    APP渗透测试准备(一) 文章目录APP渗透测试准备(一)环境准备安装adb安装fridafrida hook实例 环境准备 Windows10 X64 Python 3.7 OppoR9st anroid6.0.1 adb frida burpsuite+brida插件 安装adb 参考链接:...
  • 被产品经理分到了个app测试的活,(话说为啥是产品经理给派活,我不是归技术总监管么),包含安卓端的和ios端的,有点懵逼...app渗透测试,来源的威胁不外乎三方面: 其实web端好像也是这三方面哈。 面临的主...
  • 移动APP渗透测试方案 展示5个方面总结3种常见漏洞 发布时间:2017年10月26日 10:47 浏览量:1193  绿盟科技这几天连出渗透测试文章,真是干货啊。之前安全加介绍了金融行业 实战微信银行渗透测试, 运营商...
  • 渗透测试-Android-App渗透测试测试流程 0x01:前言: 仅作为记录以供参考 0x02:漏洞测试方法以及修复方案 一、组件以及源码安全 1、签名校验 命令: //test.apk 为要检测的包jarsigner.exe -...
  • 网上目前我是没看到有成熟的相关文档,在自己踩了几个坑之后,将使用文档整理出。 首先下载夜神模拟器,这个不难,百度一下就能下载。 adb下载: ...安装:不需要安装,解压然后放到目录下就行,任意路径,比如d盘...
  • 手机APP大用户并发测试

    万次阅读 2016-04-12 21:52:59
    随着智能手机近年来的快速增长,从游戏娱乐到移动办公的各式各样的手机APP软件渗透到我们的生活中,对于大型的手机APP测试不仅要关注它的功能性、易用性还要关注它的性能,最近发现LoadRunner12可以对手机APP做性能...
  • 最全渗透测试工具讲解

    千人学习 2019-06-25 11:17:04
    渗透测试工具详解视频教程,该课程分为三个部分,1、针对web扫描工具介绍,2、针对抓包工具介绍,3、针对信息探测介绍。(没章节都会将该章节介绍的工具共享给大家)这三部分基本涵盖了渗透测试中百分之80常见工具的...
  • 移动APP测试平台测评分析

    千次阅读 2017-08-04 16:22:30
    随着智能手机的普及率和渗透率越来越高,App开发软件也越来越多。有专家预测,2017年的App应用下载量将会突破2500亿,整个移动科技市场规模将会达到770亿美元。身处在这个“移动”的时代,APP开发的增长势头势必越发...
  • android 渗透测试必备工具

    千次阅读 多人点赞 2016-09-16 11:59:41
     伴随着移动互联网的高速发展,手机端走进普通大众的日常生活,这里我们将基于android系统介绍一些基本android渗透测试必备的使用工具。这些工具更多的是安装在android客户端。至于PC端,在后面会陆续介绍。这里...
  • web渗透测试在线网站

    万次阅读 多人点赞 2018-06-21 16:29:14
    国外1、bWAPP免费和开源的web应用程序安全项目。...它的主要目标给移动安全爱好者学习iOS的渗透测试技巧提供一个合法的平台。APP涵盖了所有常见的iOS安全漏洞,它免费并开放源码,漏洞测试和解决...
  • 手机APP测试类型与方法

    千次阅读 2013-04-27 15:36:39
    当前,智能手机已越来越普及,并已渗透到人们生活、工作的方方面面。2011年,因怀着对移动互联网行业美好的憧憬,学习了一些Android开发知识,并成功加入了一家主要从事手机测试,手机APP开发的创业型公司,成为测试...
  • 基于Android设备的 Kali Linux渗透测试教程(内部资料)
  • 《Python渗透测试编程技术 方法与实践》_李华峰 链接:https://pan.baidu.com/s/12hVKyYvn45agjfqbakCxTw 提取码:2urh 复制这段内容后打开百度网盘手机App,操作更方便哦 ...
  • web渗透测试

    千人学习 2019-06-25 11:35:51
    Web渗透测试教程,该课程侧重于讲解Web安全,并通过实验详细分析常见的十种Web漏洞、漏洞利用过程等。
  • app常见专项测试

    万次阅读 多人点赞 2018-12-13 15:17:34
    常见的apk专项测试,主要有几类(主要指项目中经常用到的) 1、稳定性 2、安全性 3、兼容性 4、版本升级 5、流量测试 6、实际测试总结(对整个项目团队是如何进行测试以及测试的内容) 一、稳定性测试 稳定...
1 2 3 4 5 ... 20
收藏数 5,999
精华内容 2,399
关键字:

app渗透测试