Android Mobile Pentest 101 © tsug0d, September 2018
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
AndroidMobilePentest 101©tsug0d,September2018
Bài5– PhântíchđộngMụctiêu:PhântíchđộngsửdụngBurpSuite
- Phântíchđộnglàquátrìnhkiểmthửvàđánhgiátrongthờigianthực- Mụcđíchcủaphântíchđộnglàxemkếtquảtrảvề,biểuhiệncủachươngtrình,thayvìngồi
đọcsource-codenhưphântíchtĩnh- ChúngtasẽsửdụngBurpSuiteđểtiếnhànhphântíchđộng
GiớiThiệu
GiớiThiệu
- Burpsuitelà một ứng dụng javadùngđể kiểm thửxâm nhập ứng dụngweb,đượcsửdụngbởinhiềunhàbảomậtchuyênnghiệptrênthếgiới
- ĐểcàiBurpSuite,truycập:https://portswigger.net/burp/communitydownload
- Tảivềfilephùhợpvớimáybạn,trongbàinày,mìnhsửdụngfile.jar
- MởBurpSuitelên,giaodiệnnhưsau:
CáchSửDụng
CáchSửDụng- Trongbàinàymìnhsẽkhông giớithiệutấtcảtínhnăngcủaBurp,mìnhchỉtậptrungvàonhững tính
năngquan trọngđốivớipentestmobileapp- Đầutiêncầnphảicấuhìnhchođiệnthoạiảo“proxy”thôngquaBurpSuite,nghĩa làmọi requestđược
gửiratừđiệnthoạiảođềuđượcBurpSuitebắtlại,rồimớiđilênserver- Kiểmtrađịachỉipđiệnthoạiảođểcấuhìnhchođúng:
- BurpSuite->Proxy->Options
CáchSửDụng- ClickAdd,Chọnipaddressnằmtrongdảimạngcủaipaddressđiệnthoạiảo
8080
CáchSửDụng- ỞProxyListenersđãxuấthiệninterfacetavừatạo,tickvàoRunning
CáchSửDụng- Vàođiệnthoạiảo->Settings->Wifi,Clickvàgiữchuộtvàotrườngwifi
CáchSửDụng- ChọnModify network,tickvàoAdvancedoptions, ỞProxyscroll,chọnManual
CáchSửDụng- Điềnthông tinproxychúng tađãtạoởtrên ->Save
CáchSửDụng- Chúng tagầnnhưhoànthànhphầncấuhình, truycậpthửtrangtsug0d.com
Accesstsug0d.comonmobile
Request bị bắt lại bởi burp
CáchSửDụng- Sửdụng thửapp:
Tiến trình Login bị burp bắt lại, điều đó có nghĩa là chúng ta có thể xem và thay đổi payload gửi lên server!
More Burp- Burpcónhiều tínhnăngrấthay,1trongsốđólàRepeater,tínhnăngnàygiúpbạntiếtkiệmthờigian,không
cầnrequestvàbắtlạinhiều lầnnữa
More Burp- SendrequestvàoRepeater,vàsửdụng lạinhiều lầntạitabnày
More Burp- BạncũngcóthểtấncôngvétcạnbằngcáchgửirequestvàotabIntruder- Tathửvétcạnmậtkhẩuchouser“dinesh”:
Kýhiệu§ đểđịnhdanhchophầnđượcvétcạn
More Burp- Trongtabintruder, bấmqua Payloadstab,ởphầnPayloadOptions làbộpayloadtadùngđểvétcạnvàovịtrí
password,bấmStartattack
Listdata
More Burp- Kếtquả!
Có 1 request có độ dài khác với các request còn lại!
True!
More Burp- History,hiển thịlịchsửcácrequestđượcgửiratừđiệnthoạiảo
More Burp- Sửdụng tabScanner(BurpSuitepromớicónha)đểtiếnhànhscantìmlỗitrong requestđược
chỉđịnh
More Burp- Kếtquả
Related Documents
![TÍNH NĂNG TRAO ĐỔI VỚI KHÁCH HÀNG - lazada.comVN].V.VN.5.7.[Tính năng... · Hướng dẫn cơ bản 4 Câu hỏitừkhách hàng có thểtìm thấytrên thông báo](https://static.cupdf.com/doc/110x72/5b57538a7f8b9a18618dd66e/tinh-nang-trao-doi-voi-khach-hang-vnvvn57tinh-nang-huong.jpg)
