精华内容
下载资源
问答
  • 以往安全爱好者研究的往往是关注app的本地安全,比如远控、应用破解、信息...移动app以web服务的方式跟服务端交互,服务器端也是一个展示信息的网站,常见的web漏洞在这也存在,比如说SQL注入、文件上传、中间件/se...

    以往安全爱好者研究的往往是关注app的本地安全,比如远控、应用破解、信息窃取等等,大多人还没有关注到app服务端的安全问题,于是在这块的安全漏洞非常多。

    移动app大多通过web api服务的方式跟服务端交互,这种模式把移动安全跟web安全绑在一起。移动appweb服务的方式跟服务端交互,服务器端也是一个展示信息的网站,常见的web漏洞在这也存在,比如说SQL注入、文件上传、中间件/server漏洞等,但是由于部分app不是直接嵌入网页在app中,而是使用的api接口返回josn数据,导致扫描器爬虫无法爬取链接。

    ios的话无法做到反编译,因此一般会借助反汇编工具,比如IDA,越狱后的环境的话,会借助idaclassdump等辅助工具,方便利用应用的逻辑进行分析

    android更多的是先进行反编译,apktooldex2jarjd-gui的组合。在android apk安全检测的时候我一般是这个思路:先看一下是不是加壳的,如果是的话会对apk尝试脱壳,然后通过反汇编、反编译工具得到汇编代码或反编译代码,然后根据特征定位代码位置,然后结合上下文分析,有时候可能要动态调试

    以下是个人总结的app反编译思路以及工具的使用:

    脱壳的话可以使用dexhunterAndroid通用脱壳工具DexHunter2015年下半年,大牛 zyqqyz最先在看雪论坛放出来的,见《Android dex文件通用自动脱壳器》这篇文章的说明

    反编译流程:

    一,apk反编译得到程序的源代码、图片、XML配置、语言资源等文件

    下载apktool,解压得到3个文件:aapt.exeapktool.batapktool.jar ,将需要反编译的APK文件放到该目录下,

    打开命令行界面(运行-CMD) ,定位到apktool文件夹,输入以下命令:apktool.bat d -f  test.apk  test    

    d55e97028026426330828164930b0bca.png

    (命令中test.apk指的是要反编译的APK文件全名,test为反编译后资源文件存放的目录名称,即为:apktool.bat   d  -f    [apk文件 ]   [输出文件夹])

    db37afa048389a4031b603d7c63a808e.png

    说明获取成功,之后发现在文件夹下多了个test文件,点击便可以查看该应用的所有资源文件了。

    如果你想将反编译完的文件重新打包成apk,那你可以:输入apktool.bat   b    test(你编译出来文件夹)便可,效果如下:

    a9d7eec7f6a7c00168ea89c22c3d1d4d.png

    之后在之前的test文件下便可以发现多了2个文件夹:

    build

    dist(里面存放着打包出来的APK文件)

    Apk反编译得到Java源代码

    下载dex2jarjd-gui ,解压

    将要反编译的APK后缀名改为.rar或则 .zip,并解压,得到其中的额classes.dex文件(它就是java文件编译再通过dx工具打包而成的),将获取到的classes.dex放到之前解压出来的工具dex2jar-0.0.9.15 文件夹内,

    在命令行下定位到dex2jar.bat所在目录,输入dex2jar.bat   classes.dex,效果如下:

    dd59d52fcaf0a379e12569a87ece4f7f.png

    在改目录下会生成一个classes_dex2jar.jar的文件,然后打开工具jd-gui文件夹里的jd-gui.exe,之后用该工具打开之前生成的classes_dex2jar.jar文件,便可以看到源码了,效果如下:

    1022d2c8380a279df57ff1a9285f2e94.png

    被混淆过的效果图(类文件名称以及里面的方法名称都会以a,b,c....之类的样式命名):

    5f10bc68a13dee03a3bb329fd7b5eda1.png

    三、 图形化反编译apk

    上述步骤一、二讲述了命令行反编译apk,现在提供种图形化反编译工具:Androidfby

    首先,下载上述反编译工具包,打开Androidfby目录,双击Android反编译工具.exe,就可以浏览打开要反编译的apk

    c959c41b73697a4c58b76b303e2ff213.png

    3ecba6ce0c7d6188151052ce095699a0.png

    APK包的一些修改心得

    一、单纯修改apk中未加密资源

    什么资源没有加密?非res文件夹下的资源,以及res中的图片。

    1、直接用WinRAR/7-Zip解压缩apk包。

    需要了解:META-INF就是签名;res就是文件类资源(图片及xml),classes.dex就是代码部分,resources.arsc就是字符串之类的资源。

    2、修改/assets/operate_type.xml 文件。

    3、删除META-INF 签名文件夹。

    4、打包apk

    5、进行签名:

    目前网络上提供的工具签名方法都是这个:

    java -jar SignApk.jar platform.x509.pem platform.pk8 aa.apk aa_signed.apk

    其中:

    ┌─ SignApk.jar 是签名工具

    ├─ platform.pk8 是私钥

    ├─ platform.x509.pem 是相对应的证书/公钥

    └─ 使用SignApk.jar进行签名,其会自动删除META-INF 签名文件夹,并生成新签名。

    6、签名后的apk即可进行安装使用。

    a80978b8594d674427e5aaa578a48504.png

    一如既往的学习,一如既往的整理,一如即往的分享。感谢支持a22d20a2396c7e034fca6aeb146bc862.png

    2ffc542275ffa8efaa25d4d9e2b2e6f8.png

    3ff5ee98074b025ccc7e62a24a73a0ad.gif

    HW攻防演练总结:安全数据分析

    水坑攻击的原理和预防措施

    利用系统溢出漏洞提权

    浅谈APP漏洞挖掘之逻辑漏洞

    蜜罐调研与内网安全

    2020HW热门0day分析与复现

    红队技能:Hash读取与端口转发

    民航业网络安全工作思考

    2020hw系列文章整理(中秋快乐、国庆快乐、双节快乐)

    HW中如何检测和阻止DNS隧道


    扫描关注LemonSec

    5905ebc8638c9e1a2245fcea150f54e6.png

    d1eeac63fa7803adf4b4ff672ef905f7.png

    展开全文
  • 微信小程序与APP相比,存在哪些优势小程序的小,从某种程度上已经说明了它的体量不会很大,但是可以实现一些功能相对简单、交互相对简单的服务需求,同时解决了App长期以来多平台适配、多应用市场分发、开发成本居高...

    微信小程序与APP相比,存在哪些优势

    小程序的小,从某种程度上已经说明了它的体量不会很大,但是可以实现一些功能相对简单、交互相对简单的服务需求,同时解决了App长期以来多平台适配、多应用市场分发、开发成本居高不下等诸多方面的问题。

    小的反面就是大,小程序的劣势就在于不能实现那些功能相对复杂,交互相对繁琐的重服务,这也就造成了小程序开发的应用范围有所局限,

    但是从应用生态的角度来看,小程序的出现,刚好形成了整个应用生态中重需求和轻需求的互补,不同的需求可以通过不同的应用形态去实现。我们再也没有必要一味的去迎合市场而去开发一款不符实际的App,这对于传统企业和创业者来说,是一件非常利好的事情。

    5166c1d20cbd4f6f5f8a68e579b9d71d.png

    首先说一下,这几个都是最终转化的渠道,如果说进入你的网站,然后再导入你的小程序或者是APP,这很明显是多此一举,因为在你的网站上面就已经可以介绍完所有东西,并且能够很详细,并不需要再去打通导入其他渠道。

    当然,如果真是需要打通导入,可以尝试用小程序导入,做一个小程序然后导入网站或者APP,这是可以的。做一个流量导入,一是能够让更多的人看到你的产品,第二也可以让小程序成为一个工具,当然,如果不清楚如何开发,也可以参考应用公园,应该能够帮到你。

    APP开发公司需了解小程序开发的成本

    小程序开发走过了2017年之后,2018年仍旧火爆,在电商领域表现尤为明显。APP开发公司需要了解小程序在哪两个方面降低流行的成本,这样才能制定更好的策略来推动行业发展。无可置疑的是小程序现在已经成为方便快捷的代名词,能为用户节省很多时间。 APP开发公司需要了解小程序开发的成本   1、小程序无需安装:小程序无需安装的特性能极大地降低人们接受某件流行品的成本,用户只要马上打开小程序就能进入流行品的界面,不需要像APP那样经历多个步骤才能操作成功。 2、小程序创造流行上遭遇障碍少:在创造流行上面所遭遇的障碍确实更少。社交分享功能现在成为移动互联网产品的标配,要制造一个流行也不难。 3、潜力无限导致成本降低:小程序开发从跟上和传统基于商店、渠道、未来的市场将会潜力无限,流行成本逐渐降低。应用公园是专业的APP开发公司,拥有专业的小程序研发团队,致力于为企业打造优质产品和服务。

    展开全文
  • Android编译之36kr.app

    千次阅读 2017-05-16 15:21:09
    毕竟不是咱熟悉的领域,算他牛逼,咱爬不了他的网站,那就直接去编译的appapp你总得给出获取数据的链接了吧。我和你用一样的数据一样的链接行不行?    想着以前也没有写过编译这个方面的东西,想着

    背景

       昨天做项目的时候因为没有数据源,就想着用jsoup去爬点数据用用(别问我为什么不用python,因为不会)。首选爬的对象就是36kr。但是这个网站做了脚本处理,用script去动态加载页面。毕竟不是咱熟悉的领域,算他牛逼,咱爬不了他的网站,那就直接去反编译的app,app你总得给出获取数据的链接了吧。我和你用一样的数据一样的链接行不行?
       想着以前也没有写过反编译这个方面的东西,想着就写点,抛钻引玉。

    只是学术研究,并无恶意,希望36kr的大哥别和我一般见识。

    准备工具

       · Apk反编译的集成工具给大家推荐个好用的。点击下载
       · 36kr的app for Android。点击下载

    开始


    Step One:

       打开apk的反编译工具:

    反编译工具

       接着只要选择需要反编译的apk,选择反编译后的文档位置,编译选项选择all。

    编译后

       编译完成后出现一个文件夹以及一个jar包。文件夹里面是36krapp的工程结构,而我们需要用到的是jar包。

    Step Two:

       接着打开反编译工具里面的jd-gui.exe这个程序。这个程序可以反编译jar文件。打开之后点击File->Open File 选择刚刚得到的jar包。

    打开jar包

    我们看到了经过代码混淆之后的工程目录。但是无论代码再怎么混淆,都躲不过有心人的查找。

    1. 从这个apk的名字我们都可以看出来36kr的主目录在那里。com.android36kr。所以主目录一定在com这个包下。但是打开com这个包才是最头疼的。
      工程结构

    2. 是不是感觉有点难以动手?还记不记得前面说的 com.android36kr?别急,打开android36kr这个包。

    36kr

    我们可以看到a,app,login这三个包。分析一下,a包做了混淆。app是软件的主目录包,login是登陆功能包。为什么要对a包做混淆?难道里面有着什么重要的东西?(好吧,我承认我说出这句话是因为整个工程的所有文件我的看了一遍。。。。)节省你们的时间,我们直接查看a包。

    1. 为了节省大家的时间,我也不是写悬疑小说的作家,我告诉你们他们的大部分请求链接都是放在com.android36kr.a.b.a.b.class这个文件里面。

    这里写图片描述

    这个b包下也还是有很多其他的请求链接的。但是我们着重来看b.class。因为我的目的只是想那我的数据,其他的我不作非分之想。接下来打开b.class
    这里写图片描述

    在这个类中我找到了我要的请求方法newsflash这是36kr的一个快讯的数据接口。

    napi/newsflash这个就是链接后缀。但是前缀呢?自然就是http://36kr.com

    猜测准不准确,验一验就知道了。点击实验。(为了防止以后测试过期,我在这里加一条测试时间 2017年5月16日 15:10:09)

    这里写图片描述

    那道一大堆数据的我也是欣喜若狂,但是我不喜欢这些乱七八糟的数据,那是程序看的,不是人。我只看到了json中有一个字段limit:10。什么意思?你每次只给我10条?难道我的app就只能给别人看10条?

    我们再回去看看源码中的api 发现了一个字段per_page
    这里写图片描述

    不用想肯定有猫腻。链接是get方式请求的,那么我们尝试在连接中加入这个字段,per_page=20吧。也给出一条验证链接 per_page=20

    这里写图片描述

    在一坨json数据的底部,我们再次看到了limit:20这个字段。那么就是说我们只要凭这个per_page就可以获取更多的数据。

    到此打住

       人家的东西就看到这里好了,有兴趣的朋友可以自己去发掘,但是我要声明与本人无关。手痒的我发现我连json的格式化类我的省了。

    这里写图片描述

    借来用用

    最后祝大家玩的开心。

    展开全文
  • App

    2020-11-02 10:27:58
    其实只要web存在得漏洞,app也都存在,比如:sql注入、验证码绕过、越权、支付漏洞、csrf、变量覆盖、序列化、文件包含、ssrf、xxe、文件上传等。那么渗透测试的核心就是控制传参(把控传参),只有传参了,产生...

    app渗透测试原理

     (app渗透测试和web渗透测试基本没有区别)在项目中90%是没有源码的
    其实只要web存在得漏洞,app也都存在,比如:sql注入、验证码绕过、越权、支付漏洞、csrf、变量覆盖、反序列化、文件包含、ssrf、xxe、文件上传等。那么渗透测试的核心就是控制传参(把控传参),只有传参了,产生交互了,才可以把网站渗透测试下来。
    app实际上的交互是什么,跟app交互的还是服务器,用的还是http协议。>>>app>网站
    正常网站的交互是浏览器到网站 >>> 浏览器>网站    也就相当于app替代了浏览器
    
    在测试过程中会遇到一些安全狗,不要遇到狗就放弃,遇到狗正常,学会绕狗,不要测试几分钟觉得没东西就不测了,不是网站没有洞,是你没有真正深入。搞不定怎么办?>>>把他的信息全部收集,等待爆出0day然后渗透。
    

    app最重要的就是抓app的包,怎么抓包呢?

    那首先要安装app,但是windows电脑上没办法安装app,怎么办?建议使用安卓模拟器,例如夜神模拟器
    
    可以直接通过下载地址直接下载:https://www.yeshen.com
    模拟器核心就是在电脑上模拟出一个手机
    

    设置代理

    设置>WIFI(长按)>修改网络>高级选项>手动代理(主机+端口)
    模拟器的IP同虚拟机的IP一样,与本机的IP不是同一个IP。
    所以大家设置模拟器的代理主机名,不要写127.0.0.1。要设置本机IP,如:192.168.1.66
    

    配置burp

    打开burp>选项>添加选的Ip+端口
    访问模拟器的浏览器需要添加证书,
    接着访问ip+端口,下载证书
    下载完成之后找到文件管理器发现安装不了证书,可以在本地下载证书然后改完后缀后在复制到模拟器
    在模拟器找到设置>安全>从SD卡安装,证书名随便设置,在设置一个密码
    
    展开全文
  • 通过编译,快速定位攻击路径,调用JS接口获取用户信息、植入钓鱼网站; 解决办法; 众所周知,H5+JS接口+Webview这种混合开发模式十分普遍,市场上面绝大部分应用或多或少都是用了。 本文实例讲解的是...
  • Java在线编译网站

    2021-02-03 10:58:11
    Java在线编译网站 https://jdec.app/
  • 通过编译,快速定位攻击路径,调用JS接口获取用户信息、植入钓鱼网站; 解决办法; 结果如下: 众所周知,H5+JS接口+Webview这种混合开发模式十分普遍,市场上面绝大部分应用或多或少都是用了。 本文实例...
  • 关于APP漏洞检测,分为两...APP代码:代码加密解密,混迹调试,模式器安装 APP应用:跟网站漏洞检测是一样的,主要是一个SIGN值的正向,反向的算法,牵扯到https协议的传输绕过,SSL安全绕过。 APP漏洞检测-经...
  • 关于APP漏洞检测,分为两...APP代码:代码加密解密,混迹调试,模式器安装 APP应用:跟网站漏洞检测是一样的,主要是一个SIGN值的正向,反向的算法,牵扯到https协议的传输绕过,SSL安全绕过。 APP漏洞检测-经...
  • 签名机制是现在App网站反采集常见的手段,我们先来看一下什么是签名机制。 我们以永辉生活微信小程序为例(我们曾做过一个采集永辉超市超级物种所有店铺商品的项目),当我们抓包分析时会发现其所有的HTTPS请求...
  • 资源包含了mac端编译工具的集合,都是从国外网站下载下来。apktool是最新的 dex和gui也都是最新的
  • APP加固

    2017-03-04 19:30:00
     APP加固是指通过一些加固技术对apk进行加固,防止别人编译我们的apk获取源码和资源文件,大致原理是:先将java语法翻译成c/c++代码,然后将c/c++代码编译成.so库。目前市场主流的APP加固公司有三家,分别是:...
  • app开发者目前在行业中的弱势问题日益突出,主要来自4个方面的侵权问题: ...2、app开发者的软件会遭到盗版的现象,甚至在自己的APP上通过编译、打包、冲编译的方式修改或添加广告key,这种行为
  • 从事网页爬虫工作有两年了,从最开始的新闻,bbs论坛,论文网站,到现在的全国企业信用信息公示系统,无论是PC网页,到手机移动APP,还是现在的支付宝微信小程序一直采集别人家网站上的数据,也算得上也是身经百战。...
  • APP数据采集常见思路

    2021-03-09 13:45:12
    抓取APP数据和抓取网页数据是不太一样的,抓取网页数据可以采用模拟访问网站然后抓取网页接收内容的模式进行数据抓取。而APP则更倾向于通过截获数据传输包的形式进行(Wireshark和Fiddler+Python)。APP数据采集的...
  • 回编译后就是不能使用,经测试,我把编译的网站改用原来服务器的网站换成服务器IP 这种方法回编译也能正常使用APP。 是不是我新的服务器少安装了什么? 或者是不是 APP 与服务器通信需要什么出能支持? 求解 谢谢...
  • 在抓取对方网站APP 应用的相关数据时,经常会遇到一系列的方法阻止爬虫。一方面是为了保证服务的质量,另一方面是保护数据不被获取。常见的一些爬虫 和反反爬虫的手段如下。 (1)IP 限制 IP 限制是很常见的一种...
  • 原标题:手把手教你利用Python网络爬虫获取APP推广信息/1 前言/CPA之家app推广.../3 项目分析——反爬措施处理/前期测试时发现,该网站反爬虫处理措施很多,测试到有以下几个:1. 直接使用requests库,在不设置任...
  • 成功破解某app加密接口

    千次阅读 热门讨论 2019-04-09 19:38:58
    逆向工程是一件痛并快乐着的过程 ...可以看出,对方使用了参数拼接md5的方式,一开始尝试在三方网站暴力解密该md5,发现根本不行,还差点被骗了100块钱,哪个网站我就不说了,大家最好不要在md5解密网站充值! ...
  • 最新Himall2.8源代码非编译完整版,包含全部完整源码【PC+WAP+Plugins插件+API+APP(H5)可打包成安卓和IOS】 源码包含商家门店APP、商城APP源码(himallapp)+全套插件源码(plugins)+全套策略源码(core、...
  • APP ID一般是用于标志一个或者一组APP,大家Apple ID是比较常见的,APP ID也就是产品ID,苹果企业签名是市场上常用的签名方式,帮助iOS...App ID字符串数组一般以反网站域名(reverse-domain-name)文件格式的Co...
  • 在移动互联网时代,很大一部分企业抛弃了传统的网站,选择将数据、服务整合到 App 端,因此 App 端无论是爬虫还是反爬都显得尤为重要。 常见的 App 端的爬虫方式是利用 Appium 和 Airtest 驱动手机打开应用,...
  • 三、项目分析——反爬措施处理前期测试时发现,该网站反爬虫处理措施很多,测试到有以下几个:1. 直接使用requests库,在不设置任何header的情况下,网站直接不返回数据。2. 同一个ip连续访问40多...
  • 爬虫判断方法

    千次阅读 2019-06-16 14:04:39
    1 最简单的网站反爬虫方法----根据 User-Agent 判断是否是爬虫 1.新建一个 Flask 项目 2.网站对于用户请求的响应处理,代码如下: 在默认的 unspider.py 文件中输入如下代码 from flask import Flask,request...
  • 网站APP们这么做的原因,一是为了保证服务的质量,降低服务器负载,二是为了保护数据不被获取。爬虫与爬虫的斗争经久不衰,这里神龙IP给大家分享一些常见的爬虫手段。 ​一、IP 限制 IP 限制是很常见的一种...

空空如也

空空如也

1 2 3 4 5 ... 10
收藏数 194
精华内容 77
关键字:

反网站app