搜文章
推荐 原创 视频 Java开发 iOS开发 前端开发 JavaScript开发 Android开发 PHP开发 数据库 开发工具 Python开发 Kotlin开发 Ruby开发 .NET开发 服务器运维 开放平台 架构师 大数据 云计算 人工智能 开发语言 其它开发
Lambda在线 > 达内软件测试培训 > 入门基础 | Android安全测试之BurpSuite抓包

入门基础 | Android安全测试之BurpSuite抓包

达内软件测试培训 2017-11-29


最新:软件测试免费试听名额火热开抢中,点击文末“阅读原文”快速抢报

【推荐阅读】

入门基础 | Android安全测试之BurpSuite抓包


安卓APP测试,少量工作在Android组件等端侧,大部分还是集中在网络通信上。因此测试过程中,网络抓包很重要,一般来说APP会采用HTTP协议,Websocket,Socket协议。其中HTTP协议的最多,Websocket是后起之秀,Socket最少。针对HTTP和Websocket,Burp Suite是进行抓包的不二之选 。


下面记录配置方法,以备忘。


1
准备素材


安卓手机一枚

WIFI上网

Burp Suite一枚


2
手机侧配置


打开手机(以华为Mate截图为例),设置->WLAN,长按已连接,修改网络:

入门基础 | Android安全测试之BurpSuite抓包


入门基础 | Android安全测试之BurpSuite抓包


3
PC侧配置


打开Burp Suite,Proxy->Options,设置代理服务器:

入门基础 | Android安全测试之BurpSuite抓包


Intercept标签下,设置Intercept is on,现在可以对APP的网络数据进行抓包了,如下:

入门基础 | Android安全测试之BurpSuite抓包


4
没有SQL注入,该怎么办?


接下来还有个问题,如果想用sqlmap跑一下请求,有没有SQL注入,怎么做?


很简单,将每次经Proxy的请求保存到日志,sqlmap使用-l参数指定文件跑。具体设置:

入门基础 | Android安全测试之BurpSuite抓包

如我们选择了sqlmap.txt文件保存Proxy请求日志。

E:\Android>sqlmap.py -l sqlmap.txt

这样来跑就可以。


5
如何抓HTTPS数据包?


我们测试重置密码,找回密码等功能,很多时候通信使用HTTPS加密的,如下设置可进行HTTPS抓包:

a)导出Burp Suite根证书

浏览器设置好代理后,访问http://burp/

入门基础 | Android安全测试之BurpSuite抓包


下载一下burp suite证书,这里是der格式的,我们要cer的,使用火狐浏览器转,导入并导出下就可以了。

入门基础 | Android安全测试之BurpSuite抓包


b)在手机中添加信任证书

将导出的证书PortSwiggerCA.crt上传到手机,安装之。(下面截图是Mate8的,各手机位置可能不一样)

入门基础 | Android安全测试之BurpSuite抓包

入门基础 | Android安全测试之BurpSuite抓包


以下,某p2p网贷APP重置密码抓的包,使用的是HTTPS: 入门基础 | Android安全测试之BurpSuite抓包

        入门基础 | Android安全测试之BurpSuite抓包

        另外,像我司这种平常上网就要挂代理的,Burp Suite配置方法如下:

        1.Burp中Options->Upstream Proxy Servers,配置原Proxy(你原来上网的)。

        2.Proxy->Options->Proxy Listeners配置代理,127.0.0.1:8080(burp作为代理服务器)

        3.IE里修改代理为127.0.0.1:8080

        数据路径为:IE(Browser)->Burp Suite->原Proxy->web服务器

来源:http://my.oschina.net/cve2015/blog/545832


免费报名听课!

入门基础 | Android安全测试之BurpSuite抓包

抓住机会

速速来约

PS:记得查收达妹送你的免费大礼包呦~

入门基础 | Android安全测试之BurpSuite抓包

*版权声明:

内容与图片均来源于网络(部分内容有修改),如果出处有误或侵犯到原作者权益,请与我们联系删除或授权事宜。

内容推荐:

1、

2、

3、

4、

5、

6、

7、

8、

▲了解更多软件测试资讯,长按上方二维码


点击“ 阅读原文 ”抢报软件测试免费试听课

版权声明:本站内容全部来自于腾讯微信公众号,属第三方自助推荐收录。《入门基础 | Android安全测试之BurpSuite抓包》的版权归原作者「达内软件测试培训」所有,文章言论观点不代表Lambda在线的观点, Lambda在线不承担任何法律责任。如需删除可联系QQ:516101458

文章来源: 阅读原文

相关阅读

关注达内软件测试培训微信公众号

达内软件测试培训微信公众号:qa-tedu

达内软件测试培训

手机扫描上方二维码即可关注达内软件测试培训微信公众号

达内软件测试培训最新文章

精品公众号随机推荐