Busy & Lazy
Activity劫持
Activity劫持,又称StrandHogg
具体介绍: https://www.freebuf.com/company-information/249009.html
利用方式与Clickjacking有些相似,都是通过UI欺骗,来引导用户进行恶意操作
至于防御手段
一方面是需要对用户进行安全意识培训与宣传
另一方面,APP可以检测自身是否被系统程序覆盖,同时可以检测程序进入后台是否由用户操作造成(Home键,返回键)
漏洞复现测试
Android抓包
一开始以为跟普通的Burp抓包区别不大,后来发现里面的门道还是挺多的
用户证书与系统证书
直接通过浏览器下载安装的证书为用户证书,一些安全性较高的APP不会信任用户证书
但是可以通过安装系统证书来绕过(需root)
https://blog.csdn.net/weixin_31702225/article/details/117694829
单向验证与双向验证
单/双向验证的一些细节就不再赘述
单向验证一般是客户端验证服务端
双向验证测试两者相互验证
把APK丢进jadx,搜索"checkclienttrusted"和"checkservertrusted"
两者分别对应"验证客户端"和"验证服务端"
Frida与Xposed+JustTrustME的方法大概都是去劫持验证过程从而进行Bypass
Burpsuite & Fiddler
就这次的测试来看
Fiddler与Burpsuite都有些各自的毛病
比如Fiddler里401的请求到了Burpsuite就200
比如Burpsuite相比于Fiddler会少了几个HTTP头
但是两者结合来使用效果还是很不错的
JustReverseIt
逆向不用管会不会逆向,逆向也不管能不能读懂Java代码,只要会在jadx里Ctrl+F就行
通过逆向,看到了一些HTTP验证头的计算方法,也看到了AES加密的密钥与加密方法,etc.
有了这些信息在进行测试的时候就能够多发现一点可测试的点