Cómo probar su aplicación para detectar vulnerabilidades de inyección de anuncios

1. ;/scriptgt; Obtenga algunos paquetes de solicitud a través de la captura de paquetes, preste especial atención a si el cuerpo del paquete contiene algunas solicitudes con el campo xx_id transitable; modificando xx_id para verificar si los permisos del usuario están controlados

4. Vulnerabilidad de transmisión de texto sin formato de información confidencial

A menudo, en algunas interfaces de inicio de sesión, restablecimiento de contraseña y transacciones, se utiliza la captura de paquetes para verificar. si la información confidencial en el cuerpo del paquete ha sido cifrada.

5. Vulnerabilidad de acceso no autorizado

lt; Punto de detección de pruebas de seguridad de la aplicación

1. Cualquier vulnerabilidad de registro de cuenta

Ingrese el registro. página, ingrese cualquier cuenta no registrada y otra información,

Luego configure la herramienta de captura de paquetes Burpsuite en modo activado para interceptar la solicitud. Después de que el front-end haga clic para enviar el código, la información del paquete interceptado se modificará. .

2. Descompile el paquete de instalación APK y use la herramienta jd-gui

3. Apkshared_prefs almacena el archivo de credenciales del usuario y verifica si se muestra en texto sin formato

Necesita usar el comando adb Shell para ver, los pasos de operación se pueden encontrar en el documento "Manual de operación de prueba de Monkey"

Aquí hay varios tipos de vulnerabilidades y métodos de detección, y se necesitan más acumulado en la práctica. El propósito de las pruebas de vulnerabilidad es descubrir y reparar vulnerabilidades, mejorando así fundamentalmente la seguridad de los sistemas de información y reduciendo fundamentalmente la aparición de incidentes de seguridad.