安全性测试:OWASP ZAP 2.8 使用指南(四):ZAP扫描移动应用安全
在作移动应用(APP,小程序等)测试时,须要关注应用安全性。html
ZAP是能够用来进行手机移动应用渗透性测试扫描的。android
正由于ZAP是采用“中间代理”的形式,截取并扫描全部客户端与服务器的交互请求,做为客户端之一种的移动端应用固然也在其范围以内。git
更多ZAP代理原理和设置请翻阅安全性测试:OWASP ZAP 2.8 使用指南(三):ZAP代理设置github
需求
-
安装于PC端的OWASP ZAP客户端小程序
- 手机模拟器/真机
安卓设置
咱们将移动APP的形式分为两种状况:安全
被测APP不使用HTTP协议,安卓机器已被root,请使用ProxyDoid服务器
被测APP使用HTTP协议,或者是手机网站,请使用默认安卓代理微信
使用ProxyDroid
ProxyDroid是安卓的一个免费开源软件。网络
ProxyDroid包含了一系列代理工具和防火墙等,能够轻松实现对于APP交互信息的导向。工具
使用ProxyDroid须要取得手机root权限。
- 打开ProxyDroid
- 修改代理为OWASP ZAP代理的IP
- 启用代理开关
- 赋予root权限
-
确保手机wifi和ZAP代理处于同一局域网内
- 进入手机“设置-无线和网络-WLAN”
- 选中已链接的wifi选择“修改网络”
- 勾选“显示高级选项”
- 选择代理方式为“手动”
- 填入ZAP地址和端口
配置好代理后,移动应用上的全部出入信息都将被ZAP截获,在截获的同时ZAP将实施“被动扫描”,将他们初扫一遍。
因为许多APP可能有鉴权操做(小程序因为微信的openid存在又要更受限),因此ZAP的两种爬虫:默认爬虫和Ajax爬虫都不是特别给力。
推荐连上ZAP代理之后,再对被测程序进行手动访问,全部页面将被ZAP记录,待主要页面访问完毕后再使用“主动扫描”便可。
相关文章
- 1. app安全测试:OWASP ZAP 2.8 使用指南(四):ZAP扫描移动应用安全
- 2. 安全性测试:OWASP ZAP 2.8 使用指南(三):ZAP代理设置
- 3. app安全测试:OWASP ZAP 2.8 使用指南(二):ZAP基础操作
- 4. app安全测试-OWASP ZAP 2.8 使用指南(一):安全测试基础及ZAP下载、安装
- 5. OWASP ZAP对移动应用的安全性测试
- 6. OWASP ZAP安全测试工具使用教程
- 7. 使用OWASP ZAP进行简单的安全测试
- 8. OWASP ZAP 2.9.0 安装及使用
- 9. OWASP ZAP使用初探
- 10. 【知识科普】安全测试OWASP ZAP简介
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • C# 不安全代码 - C#教程
- • Composer 安装与使用
- • 使用Rxjava计算圆周率
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 外部其他进程嵌入到qt FindWindow获得窗口句柄 报错无法链接的外部符号 [email protected] 无法被([email protected]@[email protected]@@引用
- 2. UVa 11524 - InCircle
- 3. The Monocycle(bfs)
- 4. VEC-C滑窗
- 5. 堆排序的应用-TOPK问题
- 6. 实例演示ElasticSearch索引查询term,match,match_phase,query_string之间的区别
- 7. 数学基础知识 集合
- 8. amazeUI 复择框问题解决
- 9. 背包问题理解
- 10. 算数平均-几何平均不等式的证明,从麦克劳林到柯西
欢迎关注本站公众号,获取更多信息
相关文章
- 1. app安全测试:OWASP ZAP 2.8 使用指南(四):ZAP扫描移动应用安全
- 2. 安全性测试:OWASP ZAP 2.8 使用指南(三):ZAP代理设置
- 3. app安全测试:OWASP ZAP 2.8 使用指南(二):ZAP基础操作
- 4. app安全测试-OWASP ZAP 2.8 使用指南(一):安全测试基础及ZAP下载、安装
- 5. OWASP ZAP对移动应用的安全性测试
- 6. OWASP ZAP安全测试工具使用教程
- 7. 使用OWASP ZAP进行简单的安全测试
- 8. OWASP ZAP 2.9.0 安装及使用
- 9. OWASP ZAP使用初探
- 10. 【知识科普】安全测试OWASP ZAP简介