Während des Praktikums war ich mit einigen Sicherheitstests von SDL vertraut. Es stellte sich heraus, dass ich auf der Webseite viel über das Eindringen gelernt habe, aber auf der mobilen Seite im Grunde nicht viel ausprobiert habe. Dadurch bin ich am Anfang immer wieder auf Fallstricke gestoßen und konnte nicht einmal Pakete erfassen (T▽ T).
Im Folgenden schreibe ich einige der Probleme und Lösungen auf, auf die ich gestoßen bin. Da die Probleme zu grundlegend sind, habe ich nicht den Mut, meine Vorgesetzten und Kollegen um Rat zu fragen. Ich habe sie im Grunde selbst gelernt und gelöst. Alle sind verärgert und ich leicht Beschweren Sie sich. Bitte lassen Sie mich wissen, wenn ich falsch liege
Konfiguration der mobilen Paketerfassung (Android)
Materialien: gerootetes Mobiltelefon, Magisk- Framework, EdXposed-Framework, riru-edxposed-Modul
Es wird empfohlen, dass Sie direkt ein gerootetes Mobiltelefon kaufen können, was von Xiaomi oder Xiaomi durchgeführt werden kann. Wenn Sie den Chef direkt bitten, Ihnen bei der Installation der Maske und des EdXposed-Frameworks zu helfen, sparen Sie viel Zeit. Ich habe auch direkt einen gerooteten Xiaomi-Computer gekauft .
Nachdem Sie das Mobiltelefon erhalten haben, müssen Sie zunächst Ihr eigenes Rülpsenzertifikat importieren, genau wie beim Erfassen von Paketen auf der Webseite. Exportieren Sie das Zertifikat von hier, ändern Sie es in das Cer-Format, laden Sie es hoch und installieren Sie es auf Ihrem Telefon. Das Telefon befindet sich normalerweise unter Einstellungen -> Systemsicherheit -> Verschlüsselung und Anmeldeinformationen und kann vom Speichergerät installiert werden.
Konfigurieren Sie nach der Installation des Zertifikats den Proxy. Dies entspricht dem Erfassen von Paketen auf der Webseite. Lassen Sie das Mobiltelefon und den Computer im selben Netzwerk sein, fügen Sie hier in burp->Proxy->Optionen einen Listener hinzu, die IP ist die IP des Computers, der Port kann nach Belieben eingestellt werden und der Rest muss nicht geändert werden .
Auf der mobilen Seite können Sie einen manuellen Proxy direkt in den WLAN-Einstellungen hinzufügen. Wenn Sie Probleme damit haben, können Sie auch Proxy-Software wie Drony verwenden.
Anschließend können Sie einfache APP-Datenpakete erfassen. Wenn Sie nur einige APPs ohne Shells oder ohne Sicherheitsüberprüfungsmechanismus testen müssen, ist dies ausreichend. Für einfache Testanforderungen reicht es aus, den Simulator direkt zu verwenden. Auf Baidu sind zahlreiche Tutorials verfügbar.
Beheben Sie Zertifikatsprobleme
In vielen Fällen können die von uns importierten Zertifikate aufgrund einiger Mechanismen von Android 10 nicht verwendet werden, was dazu führt, dass das Paket nicht erfasst werden kann. Hier müssen wir das Modul „Zertifikate verschieben“ verwenden, um das Benutzerzertifikat in ein Systemzertifikat umzuwandeln. Das Folgende ist ein Tutorial.
Das Move Certificates-Modul kann direkt im Magisk-Framework installiert werden, oder Sie können es von Github herunterladen und lokal installieren. Starten Sie das Modul nach der Installation
Starten Sie Ihr Telefon neu und Sie werden sehen, dass das Benutzerzertifikat in ein Systemzertifikat umgewandelt wurde.
Umgehen Sie die SSL-Überprüfung
Wenn der Datenverkehr der APP über das HTTPS-Protokoll übertragen wird, wird SSL überprüft. Während des Testvorgangs bin ich auf viele APPs gestoßen, die mit der vorherigen Konfiguration kein Problem hatten, das Paket aber trotzdem nicht abfangen konnten. Überprüfen Sie die Terminal-Fehlermeldung wie folgt:
javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found
或
javax.net.ssl.SSLPeerUnverifiedException: Certificate pinning failure!
Peer certificate chain:
Es scheint, dass das Problem durch den SSL-Erkennungsmechanismus verursacht wird, der mit dem SSLUnpinning-Modul umgangen werden kann.
Das SSLUnpinning-Modul kann direkt vom EdXposed Manager heruntergeladen werden. Wenn es nicht heruntergeladen werden kann, müssen Sie möglicherweise ein VPN auflegen, oder Sie können zu Github gehen, um es herunterzuladen und selbst zu installieren. Github-Link
Denken Sie daran, das Modul nach dem Hinzufügen zu aktivieren, da es sonst nicht wirksam wird.
Wählen Sie einfach die App aus, die Sie testen möchten, in SSLUnpinning. Es scheint, dass alle Apps umgangen werden, wenn Sie hier nur eine auswählen.
Der Test kann Pakete normal erfassen
【Wird weiter hinzugefügt...】
[Das Folgende ist das umfassendste Systemdiagramm zum Lernen von Softwaretestingenieuren, das Wissen über Architektur im Jahr 2023 erlernt, das ich zusammengestellt habe]
1. Einführung in die Python-Programmierung zur Beherrschung
2. Praktische Umsetzung von Schnittstellenautomatisierungsprojekten
3. Tatsächlicher Kampf des Web-Automatisierungsprojekts
4. Praktische Umsetzung des App-Automatisierungsprojekts
5. Lebensläufe erstklassiger Hersteller
6. Testen und entwickeln Sie das DevOps-System
7. Häufig verwendete automatisierte Testtools
8. JMeter-Leistungstest
9. Zusammenfassung (kleine Überraschung am Ende)
Die Lebensdauer ist lang, also fügen Sie Öl hinzu. Jede Anstrengung wird nicht enttäuscht sein, solange Sie durchhalten, werden Sie irgendwann belohnt. Schätzen Sie Ihre Zeit und verfolgen Sie Ihre Träume. Vergessen Sie nicht Ihre ursprüngliche Absicht und machen Sie weiter. Ihre Zukunft liegt in Ihrer Hand!
Das Leben ist kurz und die Zeit kostbar. Wir können nicht vorhersagen, was in der Zukunft passieren wird, aber wir können die Gegenwart kontrollieren. Schätzen Sie jeden Tag, arbeiten Sie hart und machen Sie sich stärker und besser. Mit festem Glauben und beharrlichem Streben wird der Erfolg letztendlich Ihnen gehören!
Nur wenn Sie sich ständig selbst herausfordern, können Sie sich ständig selbst übertreffen. Verfolgen Sie weiterhin Ihre Träume und gehen Sie mutig voran, und Sie werden feststellen, dass der Prozess des Kampfes so schön und lohnenswert ist. Glaub an dich, du schaffst es!
Abschließend möchte ich mich bei allen bedanken, die meinen Artikel sorgfältig gelesen haben. Gegenseitigkeit ist immer notwendig. Obwohl es keine sehr wertvolle Sache ist, können Sie es direkt verwenden, wenn Sie es verwenden können:
Diese Informationen sollten das umfassendste und vollständigste Vorbereitungslager für Freunde von [Softwaretests] sein. Dieses Lager hat auch Zehntausende von Testingenieuren auf der schwierigsten Reise begleitet. Ich hoffe, es kann Ihnen auch helfen!
