安全性測試:OWASP ZAP 2.8 使用指南(四):ZAP掃描移動應用安全
在作移動應用(APP,小程序等)測試時,須要關注應用安全性。html
ZAP是能夠用來進行手機移動應用滲透性測試掃描的。android
正由於ZAP是採用「中間代理」的形式,截取並掃描全部客戶端與服務器的交互請求,做爲客戶端之一種的移動端應用固然也在其範圍以內。git
更多ZAP代理原理和設置請翻閱安全性測試:OWASP ZAP 2.8 使用指南(三):ZAP代理設置github
需求
-
安裝於PC端的OWASP ZAP客戶端小程序
- 手機模擬器/真機
安卓設置
咱們將移動APP的形式分爲兩種狀況:安全
被測APP不使用HTTP協議,安卓機器已被root,請使用ProxyDoid服務器
被測APP使用HTTP協議,或者是手機網站,請使用默認安卓代理微信
使用ProxyDroid
ProxyDroid是安卓的一個免費開源軟件。網絡
ProxyDroid包含了一系列代理工具和防火牆等,能夠輕鬆實現對於APP交互信息的導向。工具
使用ProxyDroid須要取得手機root權限。
- 打開ProxyDroid
- 修改代理爲OWASP ZAP代理的IP
- 啓用代理開關
- 賦予root權限
-
確保手機wifi和ZAP代理處於同一局域網內
- 進入手機「設置-無線和網絡-WLAN」
- 選中已鏈接的wifi選擇「修改網絡」
- 勾選「顯示高級選項」
- 選擇代理方式爲「手動」
- 填入ZAP地址和端口
配置好代理後,移動應用上的全部出入信息都將被ZAP截獲,在截獲的同時ZAP將實施「被動掃描」,將他們初掃一遍。
因爲許多APP可能有鑑權操做(小程序因爲微信的openid存在又要更受限),因此ZAP的兩種爬蟲:默認爬蟲和Ajax爬蟲都不是特別給力。
推薦連上ZAP代理之後,再對被測程序進行手動訪問,全部頁面將被ZAP記錄,待主要頁面訪問完畢後再使用「主動掃描」便可。
相關文章
- 1. app安全測試:OWASP ZAP 2.8 使用指南(四):ZAP掃描移動應用安全
- 2. 安全性測試:OWASP ZAP 2.8 使用指南(三):ZAP代理設置
- 3. app安全測試:OWASP ZAP 2.8 使用指南(二):ZAP基礎操作
- 4. app安全測試-OWASP ZAP 2.8 使用指南(一):安全測試基礎及ZAP下載、安裝
- 5. OWASP ZAP對移動應用的安全性測試
- 6. OWASP ZAP安全測試工具使用教程
- 7. 使用OWASP ZAP進行簡單的安全測試
- 8. OWASP ZAP 2.9.0 安裝及使用
- 9. OWASP ZAP使用初探
- 10. 【知識科普】安全測試OWASP ZAP簡介
- 更多相關文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • C# 不安全代碼 - C#教程
- • Composer 安裝與使用
- • 使用Rxjava計算圓周率
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 外部其他進程嵌入到qt FindWindow獲得窗口句柄 報錯無法鏈接的外部符號 [email protected] 無法被([email protected]@[email protected]@@引用
- 2. UVa 11524 - InCircle
- 3. The Monocycle(bfs)
- 4. VEC-C滑窗
- 5. 堆排序的應用-TOPK問題
- 6. 實例演示ElasticSearch索引查詢term,match,match_phase,query_string之間的區別
- 7. 數學基礎知識 集合
- 8. amazeUI 復擇框問題解決
- 9. 揹包問題理解
- 10. 算數平均-幾何平均不等式的證明,從麥克勞林到柯西
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. app安全測試:OWASP ZAP 2.8 使用指南(四):ZAP掃描移動應用安全
- 2. 安全性測試:OWASP ZAP 2.8 使用指南(三):ZAP代理設置
- 3. app安全測試:OWASP ZAP 2.8 使用指南(二):ZAP基礎操作
- 4. app安全測試-OWASP ZAP 2.8 使用指南(一):安全測試基礎及ZAP下載、安裝
- 5. OWASP ZAP對移動應用的安全性測試
- 6. OWASP ZAP安全測試工具使用教程
- 7. 使用OWASP ZAP進行簡單的安全測試
- 8. OWASP ZAP 2.9.0 安裝及使用
- 9. OWASP ZAP使用初探
- 10. 【知識科普】安全測試OWASP ZAP簡介