全国[切换城市]
登录 | 注册
客服微信:zx81024163 |

深入解析Burp Suite在Android端的安全测试与实际应用指南

日期: 2024-12-22 15:05:30 |浏览: 19|编号: 62452

友情提醒:信息内容由网友发布,本站并不对内容真实性负责,请自鉴内容真实性。

深入解析Burp Suite在Android端的安全测试与实际应用指南

前言

Burp Suite 是一个用于 Web 应用程序安全测试和攻击 Web 应用程序的集成平台。它无缝集成各种安全工具来支持整个测试过程,从初始映射和应用程序攻击面分析,到发现和利用安全漏洞。

上一篇文章已经详细介绍了BurpSuite工具的使用。如果你不了解这个工具,可以阅读之前的文章。

今天我们将介绍Burpsuite捕获IOS和Android移动应用数据的实际使用。

Android端先决条件: 演示步骤0x01 PC端:

此时记下电脑的IP地址:192.168.1.132

2.burpsuite设置

将代理设置为我们本地计算机的IP:

3.burpsuite证书

我们将证书导出到文件夹:E:\burpsuite_pro

当我们点击【下一步】后,证书就成功导出了。这里导出路径为:我们将证书导出到文件夹:E:\burpsuite_pro

4、手机设置代理

我们用手机连接wifi(我们电脑也连接这个wifi),打开wifi设置:

我们将手机的代理设置为本地电脑的IP(我这里设置为192.168.1.132,端口为8011,也就是我们上面步骤中在burpsuite中设置的端口。

具体步骤:手机上的【设置】-【WLAN】-【>】XX(这里是我们的wifi名称)(点击右尖括号)查看wifi详细信息和代理设置。

注意:不同的手机接入wifi的方式不同,设置代理的操作也不同。这里不可能详细解释所有手机的设置。就以我的手机为例。

5、导入手机上的burpsuite证书

为了避免证书问题,我们可以选择导入刚才的burpsuite证书,将burpsuite证书复制到手机上,然后再导入证书。

手机【设置】-【更多设置】-【安全】-【从手机U盘和SD卡安装】

在【设置】-【更多设置】-【安全】-【从手机U盘和SD卡安装】-【受信任的证书】中,我们就可以成功导入证书了。

6、电脑端burp正常拦截手机流量

我们可以在电脑上返回burpsuite,看到捕获的手机流量。接下来我们可以进行流量字符串修改等操作。

0x02 将手机连接到电脑的WIFI

有时,我们的计算机是通过电线连接的。这时,我们需要做的就是以下简单的步骤:

1.打开电脑上的wifi

如果我们的wifi软件有各种安全设置,请关闭这些安全功能。

2.WiFi网关

找到我们启用wifi的网关。这里可以看到wifi网关是192.168.191.1

这里WiFi网关的地址192.168.191.1相当于0x01中电脑的IP地址:192.168.1.132

3.burp设置代理

此时burp需要设置WiFi网关绑定的地址,如下:

4、导入手机上的burpsuite证书

为了避免证书问题,我们可以选择导入刚才的burpsuite证书,将burpsuite证书复制到手机上,然后导入证书。

手机【设置】-【更多设置】-【安全】-【从手机U盘和SD卡安装】

在【设置】-【更多设置】-【安全】-【从手机U盘和SD卡安装】-【受信任的证书】中,我们就可以成功导入证书了。

5、电脑端burp正常拦截移动端流量

我们可以在电脑上返回burpsuite,看到捕获的手机流量。接下来我们可以进行流量字符串修改等操作。

让我重点说一下:

①burpsuite代理配置监听:WiFi网关地址192.168.191.1

②手机端导入证书的步骤还是一样。

iOS端

1.下载对应的证书-安装描述文件

2.设置-常规-查看描述文件(自行查看验证即可)

3.设置-常规-关于本机-信任证书设置(下拉到底部)-打开信任。

先决条件

1.手机和WIFI必须能够使用同一个WIFI。

2.你需要一台电脑

3.你需要一部iPhone(肾机)

配置端口的演示步骤

配置代理IP和端口,使用WIFI,电脑和手机在同一个WIFI。因此,使用计算机IP作为代理,这里不能使用127.0.0.1。

BURP 会列出计算机的 IP 供您选择。

到这里就配置成功了

代理IP 192.168.64.170 端口为8080

验证安装证书

安装描述文件,

安装完成,成为安装状态。

信任证书

如果您想删除

设置-----常规----删除描述文件

配置代理配置成功

由于代理造成的网速问题,某些应用程序功能可能会运行缓慢。

最近,我想弄清楚如何解决 Google Chrome 中的 HTTPS 代理信任问题。只需将证书导入 Firefox 即可。部分Android手机需要转换证书格式后才能导入。

证书转换问题

1.无需转换即可打开

在 Firefox 设置中,选择“高级”,然后选择“证书颁发机构”并导入刚刚下载的证书。

新版本在

Firefox 隐私和安全 – 证书 – 查看

然后选择证书颁发机构并导入刚刚下载的证书。

导入成功后,你会发现证书颁发机构中多了ProtSwigger导出。

(看对比效果),方法有很多,转换格式后自行google Android安装即可。

本文链接:http://bonshw.com/?m=detail&id=62452

提醒:请联系我时一定说明是从铂牛网上看到的!